“Las empresas que apuesten por la privacidad serán mejor valoradas que otras”

protect-ICAM-649x311px

“Las empresas que apuesten por la privacidad serán mejor valoradas que otras”
 
Entrevista de @LuisjaSanchez a Rafael García del Poyo, socio experto en NT de Osborne Clarke
 
“Nadie puede dudar de la apuesta personal de la Comisaria Viviane Reding para que el Reglamento Europeo de Protección de Datos sea una realidad y que se debe contextualizar en un momento en el que hemos sabido de determinadas escuchas realizadas por un Gobierno en concreto”, esta es una de las primeras reflexiones de Rafael García del Poyo, socio experto en NT de Osborne Clarke, sobre esta cuestión. A lo largo de esta entrevista profundizamos en los aspectos más determinantes de este futuro marco común europeo en privacidad, con uno de nuestros mejores expertos en derecho de las nuevas tecnologías: ”El ajuste práctico del Reglamento va a llevar tiempo. En muchos casos se ajustará sobre la marcha, no me cabe duda, determinadas cuestiones, como pueda ser el futuro de los reguladores nacionales” explica. Desde su punto de vista, respecto al llamado derecho al olvido “hay mucha discusión en cómo denominamos al concepto. Y la verdad que lo importante no es como lo llamemos sino el concepto que hay detrás”, afirma. Parece inevitable que asistimos a un nuevo cambio cultural donde las tecnologías, en general y la privacidad, en particular, serán elementos reputaciones valorados por los consumidores y usuarios finales.
 
Sr Garcia del Poyo, ¿Cómo ve desde la distancia un experto como usted el debate alrededor del próximo Reglamento Europeo de Protección de Datos?
 
El acuerdo está próximo a cerrarse. Me ha sorprendido en las conversaciones mantenidas con personas vinculadas a este Reglamento y representantes del Parlamento Europeo que hay más consenso del que en principio se anticipaba.
El propio Parlamento Europeo, desde su Comisión LIBE, ha sido bastante receptivo a los planteamientos de la Comisaria Reding.
Es posible que al principio el planteamiento de la Comisión fuera algo agresivo, pero, finalmente lo que ha sucedido es que todas las partes han confluido.
Lo único que sucede es el timing, las elecciones europeas serán en mayo y de renovación de determinados cargos de la propia Comisión. Si a esto le añadimos las noticias que hemos sabido de espionaje, es evidente que el proceso de gestación del Reglamento se ha retrasado.
Se trata de lograr la uniformidad de todos los países en protección de datos, cuestión que no es sencilla. Los plazos eran muy ajustados y parece que la Comisión se ha fijado finales de este año para sacar adelante el citado Reglamento.
 
Debate sí que ha habido, más de 3.000 enmiendas…
Hay que reconocer el trabajo de Comisión y Parlamento Europeo sobre el Reglamento. Eurodiputados como Jan Philipp Albrecht y su equipo a través de la Comisión Libe, adscrito a los verdes alemanes, suscitaba algún tipo de recelo para la industria, sin embargo ahí está su labor.
No destacaría ninguna en particular. Si se ha percibido la necesidad por parte de la industria de decir que hay diferentes dificultades en distintas jurisdicciones, incluso en la empresa europea y ver su ajuste en ese entorno europeo propiamente dicho.
 
En la teoría se busca un marco europeo común sobre privacidad, ¿será factible en la práctica?
 
Será complejo de llevar a cabo. Recuerdo un profesor de derecho comunitario europeo ahora magistrado del Tribunal de Justicia de la UE que definía el derecho europeo como un intento de alguien de abrir una puerta y el intento de otros señores por no dejarla abrir.
En este contexto, poco a poco se van produciendo hitos. Y el Reglamento es y será uno de ellos de los más importantes.
Siempre se ha cuestionado la base jurídica que lo sustenta, algunos expertos comentaban que en el Tratado de Funcionamiento de la Ue y en sus artículos 5 y 15 encuentra acomodo el citado Reglamento.
No podemos olvidar que la propia directiva 95/46 que ahora se quiere modificar, ya planteaba problemas desde su base jurídica. Quería resolver cuestiones de mercado único tratando temas de derechos fundamentales.
Eso genera cierta tensión porque como bien sabe todo lo relacionado con este tipo de derechos son competencia de los Estados.
Todo lo que sea uniformizar y acercar posicionamientos es positivo. De alguna forma la Comisaria Reding quiere ayudar a desarrollar la industria desde este Reglamento. Las dificultades no son insuperables.
 
¿Hubiera sido mejor haber apostado por una nueva Directiva Europea, en lugar del Reglamento que tiene fuerza de ley en este momento?
 
Me consta que este planteamiento se valoró en el seno de la UE. De todas formas la propia Reding ha buscado ese proceso de armonización de una manera más radical.
El Reglamento es directamente aplicable en los términos que se negocien en Bruselas mientras que como bien sabe la Directiva da un margen, a discrecionalidad de los propios Estados para su posterior transposición.
 
De todas formas tendrá que haber alguna vacatio legis para poder adaptarse a ese nuevo entorno más común.
Toda la lógica indica que así será. El ajuste práctico del Reglamento va a llevar tiempo. En muchos casos se ajustará sobre la marcha, no me cabe duda, determinadas cuestiones.
A ese respecto queda por ver como quedarán las agencias nacionales de protección de datos.. que podrán o no notificar y si se llegará a crear una Agencia Europea de Protección de datos… Todo está por ver..
 
Ahora que habla de un posible Regulador Europeo, el borrador del Reglamento no acaba de definirlo. ¿Una oportunidad perdida, quizás? … ¿o no?
Es posible que desde la base del Reglamento a medio plazo se consolide ese nuevo operador europeo. Es la sensación que hay en los círculos de Bruselas. De momento nadie quiere hablar de ello pero sobrevuela esa intención final.
 
¿Y cuál puede ser el futuro de nuestra AEPD, sabiendo que el borrador del Reglamento no contempla la inscripción, tal y como se hace ahora, de los ficheros?
 
Si se aprueba el Reglamento tal y como lo conocemos, es evidente que tendrá que adaptarse a esta nueva situación. No habrá ese formalismo de inscripción previa de esos ficheros que luego utilizan las empresas.
Entiendo que la propia AEPD en el foro correspondiente estará explicando las bondades de su sistema, que en la actualidad me parece tiene un matiz positivo jurídicamente hablando.
Hay que darse cuenta que cuando se notifica una transferencia internacional de datos, lo que se hace es una modificación de la inscripción original. Habría que ver esas modificaciones cómo se tratarán en el futuro, si se inscribirá o no.
No creo que nadie tenga claro lo que va a pasar en estos momentos con los reguladores nacionales.
 
Si le parece vamos analizando algunos aspectos que se conocen del Borrador de Reglamento. ¿Le sorprende el cambio que se da al derecho al olvido?
 
No. Lo que sucede es que hay mucha discusión en cómo denominamos al concepto. Y la verdad que lo importante no es como lo llamemos sino el concepto que hay detrás.
En esta situación deberíamos escuchar y estar pendiente de lo que diga el TJUE sobre la cuestión prejudicial que involucra a la AN, a la propia AEPD y a Google en un asunto de derecho al olvido precisamente.
Estoy seguro que el TJUE definirá el concepto y al hacerlo sepamos con mayor claridad qué termino emplear. Hay que ser más práctico con este tipo de asuntos realmente.
 
El propio abogado general en su argumentación no vinculante ya daba unas pautas muy concluyentes sobre esta cuestión hace algunos meses.
Es cierto, Dejaba claro que Google debería someterse al llamado derecho europeo, aunque no en términos absolutos y hay que ponerlo en relación con el derecho a la información, con la liberta de empresa y una serie de cuestiones.
Y ahí lo deja para que el propio TJUE se pronuncie sobre esas preguntas abiertas que hace la Audiencia Nacional.
 
El futuro Reglamento impulsará auditorias de riesgos en función del cliente, los llamados Privaty Impact Assesment (PIA), otro cambio importante.
 
Las empresas se irán adaptando de forma progresiva a esta exigencia. Con estas auditorías se pretende conocer cuál será el impacto sobre los datos personales de esos clientes antes de llevar a cabo cualquier actuación donde se involucren.
Es algo bastante lógico y que recuerda a los informes de impacto ambiental que se pedían de forma notable en los años ochenta y noventa para determinados estudios productivos relacionados con infraestructuras o tendidos eléctricos.
Las empresas tendrán que adaptarse a través de la contratación de consultorías, bien profesionales externos o internos que puedan asumir esta nueva carga de trabajo.
 
¿Al final las empresas van a tener que disponer de un área de Compliance en materia de privacidad?
 
Creo que puede ser conveniente y útil para las empresas. Hace unos días la propia Comisaria Reding en un artículo que publicaba confesaba que Europa tenía la reglamentación sobre privacidad más exigente del mundo.
Este comentario tiene dos lecturas, una garantiza los derechos fundamentales de los ciudadanos y además puede generar otras oportunidades económicas en nuestro entorno.
No hay contradicción en lo que digo. Las tecnologías de la información generan mucha inversión subyacente.
El hecho que ahora el futuro Reglamento pida la figura del DPO (Data Privace Officer) en determinadas estructuras empresariales que supervisa estas políticas de privacidad hará que las empresas inviertan en este tipo de prestaciones nuevas y se incremente el negocio por ese lado.
Y, al mismo tiempo, defiendo el efecto positivo de un derecho bien redactado. Si llegamos a una web donde todo está claro y el ciudadano está cómodo en la navegación, uno se siente más a gusto y consume más de forma inconsciente.
 
¿Entonces Privacidad es sinónimo de ser competitivo?
 
En efecto, una empresa que se preocupa por la privacidad y el entorno de los datos personales ofrece más garantía a empresas y ciudadanos de cara al consumo. Ofrece seguridad al usuario y a la vez fomenta el consumo, al mismo tiempo.
Sin embargo, el debate está abierto, otros expertos señalan que es mejor que exista más flexibilidad y menos control de cara a que se impulse el consumo y la actividad. Al final deben ser nuestros legisladores quienes marquen el camino a seguir.
 
Este Reglamento del que estamos hablando supone un cambio cultural si realmente se llega a materializar el concepto Privacy by Design como elemento principal.
 
Será sin duda un cambio cultural importante. Vivimos en estos momentos una época de transición tanto en lo legislativo como en la forma de entender las tecnologías.
Es posible que nuestros nietos se rían cuando dentro de cuarenta años nuestros nietos lean esta entrevista. Les parecerá lo más normal del mundo. Nosotros somos migrantes digitales no somos nativos como ellos.
En el futuro será muy normal diseñar un software y pensar de forma previa en el impacto que tendrá en el tratamiento de los datos personales de los consumidores. Ahora lo vemos como una exigencia más porque realmente no sabemos cómo implementaremos ese proceso realmente.
 
Será un cambio social importante al que las Universidades tendrán que adaptarse y ¿quizás exista pronto alguna Cátedra sobre Privacidad?
 
Todo irá en esa línea. Las tecnologías de la información no son un reducto de nadie y tienen una transversalidad importante en otras actividades.
Es difícil encontrar un proceso productivo en el mundo en el que no intervengan las propias tecnologías a las que aludo. Estamos ante la máquina de vapor del siglo XXI. Su libro de instrucciones es la normativa vigente, el Derecho que las regula.
Es evidente que hoy en día muchos despidos tienen que ver con la política tecnológica que impone la empresa y el uso de esas herramientas tecnológicas, por ejemplo.
O si el empleador tiene derecho a acceder a estos contenidos y le ampara la ley.. Todo esto debe quedar claro y ya tenemos cierta jurisprudencia sobre esta materia. En el futuro todo nuestro Derecho estará más impregnado de tecnología de la información.
 
¿Dónde está la clave para que el futuro Reglamento de Protección de Datos países como España lo adapten sin traumas?
 
Sobre todo en su amplitud y transversalidad. Si realmente va a afectar a todos los sectores de la actividad económica y social.
Aunque los debates que se conocen se inclinan por ello, habrá que ver que pasará con determinada legislación que existe en este país relacionada con protección de datos pero no recogida en ningún texto de este tipo.
Es el caso de las cookies que toda la regulación se está haciendo desde la LSSI, no sabemos que pasará si se regulara desde el citado Reglamento. O en la ley 25/2007 que regula el mantenimiento de los datos de los operadores de telecomunicación, esos datos como se regularán en el futuro..
Habrá que ver la imbricación de lo genérico con lo jurídico. Y como se verán afectadas esas piezas jurídicas no centradas en temas de protección de datos.
Será necesario buena voluntad y una labor didáctica y preventiva por parte de todos, habrá cuestiones que como dije antes se solucionarán sobre la marcha.
 
Este próximo Reglamento también regula las llamadas fugas de información de las empresa, no sin cierta polémica.
 
El texto se centra en las fugas de información donde se involucren datos de carácter personal, realmente. Este es un concepto del derecho sajón donde se promueve la notificación de esas fugas. Si se hace de forma voluntaria y no por reclamaciones de terceros será tratada esa empresa de forma más benévola.
Si lo llevamos al derecho español, nuestra Constitución nos dice que no estamos obligados a aportar pruebas contra nosotros mismos. Si decimos que se ha provocado una fuga podemos estar expuestos a un procedimiento sancionador administrativo.
Y eso revelaría que no estamos cumpliendo con la normativa de seguridad y todos sus preceptos. Habrá que ver el encaje entre la obligatoriedad del Reglamento de aportar la información y el precepto constitucional del que hablamos en nuestro país.
 
Las sanciones que han trascendido son bastante duras, la verdad.
 
Es ya una noma de la propia UE que tengan que ve con un tanto por ciento del volumen de facturación de la empresa. Es muy disuasorio para los grandes grupos empresariales. Veremos al final como realmente queda esta medida sobre el papel.

, , , , , , , , , , , ,

Sin comentarios todavía.

Deja un comentario

ASOCIACIÓN
“Abogados por un COLEGIO-ético”
Calle Reina Mercedes,22
28020 Madrid
CIF: G86855350
Tlf: 91 456 29 80
Email: info@colegio-etico.es

© 2013 Abogados por un COLEGIO-ético
Todos los Derechos Reservados.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR