09 junio 2016

El Reglamento Europeo de Protección de Datos desde el punto de vista del consumidor

Por Ofelia Tejerina Rodríguez, doctora en Derecho Constitucional, abogada de la Asociación de Internautas

La aprobación del nuevo Reglamento europeo de protección de datos ha venido a ampliar muchos detalles que es necesario armonizar, dentro de lo posible, en las normativas de los Estados Miembros de la UE. La Directiva que hasta ahora establecía el marco regulador en esta materia era del año 1995, y hacía falta ya una buena puesta a punto para integrar ese aire nuevo que el mero progreso de la tecnología impone a la práctica de los tratamientos de protección de datos en cada sector. El lema de partida ha sido reconocer que “el tratamiento de datos personales debe estar concebido para servir a la humanidad”, y que hoy “las personas físicas difunden un volumen cada vez mayor de información personal a escala mundial”. Hay además una “percepción generalizada entre la opinión pública de que existen riesgos importantes para la protección de las personas físicas, en particular en relación con las actividades en línea”, y que es una obligación de los poderes públicos “generar la confianza que permita a la economía digital desarrollarse en todo el mercado interior”.

Hand pushing virtual security button on digital backgroundLógicamente las personas somos las destinatarias de su tutela legal, como usuarios, como consumidores, como administrados, como ciudadanos, etc., y desde este punto de vista no cabe duda de que todo esfuerzo en favor de la homogeneización de los criterios y garantías aplicadas en los diferentes países de la UE, es un objetivo esencial. Con este Reglamento parece que tendremos un marco normativo “reseteado” y flexible, pero de mínimos, y con la clara intención de conciliar experiencias. Se tiene muy en cuenta que la seguridad exige de forma prioritaria evitar incidentes y riesgos, pero también la elusión de la debida diligencia por parte de los responsables. Además, se impulsa el uso de medidas “tecnológicamente neutras”, cuya eficacia no dependa solo de las técnicas de protección existentes en cada momento.

Si bien todos los aspectos de la vida cotidiana se van a ver afectados por las disposiciones de esta nueva norma, al reclamar su eficacia debe recordarse que el derecho a la protección de datos no es absoluto, ni frente a otros derechos fundamentales, ni respecto a ciertas actividades que van a quedar fuera de su alcance directo, como son aquellas excluidas del ámbito del Derecho de la Unión, las relativas a la seguridad nacional, o el simple ámbito doméstico, en el que una agenda de direcciones, la actividad en las redes sociales, y la actividad on-line realizada en ese contexto, se reservan a la esfera personal de cada ciudadano. Eso sí, el Reglamento se aplicará “a los responsables o encargados del tratamiento que proporcionen los medios para tratar datos personales en relación con esas actividades personales[1]”.

Otra cuestión sobre límites de competencia, es lo relativo al territorio. Los consumidores y/o internautas deben saber que cuando el responsable del tratamiento de datos esté ubicado en territorio de la UE, el Reglamento le será plenamente aplicable. Y si no lo estuviera, que lo será cuando “las actividades de tratamiento se refieran a la oferta de bienes o servicios a dichos interesados, independientemente de que medie pago (es decir, se ofrezcan a residentes en la UE)[2], y cuando el tratamiento “esté relacionado con la observación del comportamiento de dichos interesados en la medida en que este comportamiento tenga lugar en la Unión[3]”.

GARANTÍAS DEL CIUDADANO

En un sentido más práctico, hay que subrayar ciertas garantías que como ciudadanos podemos y debemos exigir a quienes pretendan servirse de nuestra información personal para su actividad, ya sea pública o privada. Éstas nos sirven además de recomendaciones para entender el alcance “útil” de nuestros derechos.

Por ejemplo, se incentiva el uso de datos personales seudonimizados; la disociación de la nuestra identidad de otros datos que nos puedan identificar, hará que existan menos probabilidades de que terceros no autorizados utilicen esta información para elaborar perfiles más o menos completos de la persona en cuestión, incluso usarlos después para fines no legítimos, con el riesgo o perjuicio que para la dignidad pueda llegar a suponer. Esto va unido al llamado “principio de calidad”, que impone que sólo pueden tratarse los datos que sea estrictamente necesario para cumplir el propósito inicialmente previsto[4], y por supuesto, contando con nuestro consentimiento (libre, específico, informado, e inequívoco) verbal o escrito.

El Reglamento especifica que, en términos on-line, esa aceptación pueda emitirse mediante el habitual “click” de la casilla informativa, o mediante la elección de parámetros técnicos concretos para la utilización del servicio de que se trate (por ejemplo, la configuración del almacenamiento de “cookies” en el navegador). Lo que de ninguna manera se admite como consentimiento válido es la inacción o las casillas marcadas por defecto. Es interesante la precisión que hace el Considerando 32 para los supuestos de solicitud de consentimiento por medios electrónicos, que dice que sea clara y precisa pero que “no perturbe innecesariamente el uso del servicio para el que se presta”. Todo un detalle. Al igual que lo es incluir una previsión expresa en favor de los usuarios sobre la controvertida “portabilidad” de datos, estableciendo que los prestadores de servicios no podrán negar la cesión de datos a otro responsable cuando así lo haya solicitado el interesado, ni al contrario, se entiende, cederlos sin su consentimiento[5]. Es muy probable que más de un miembro del Parlamento Europeo o del Consejo haya sufrido en alguna ocasión las consecuencias de este inconcebible comportamiento de los prestadores de servicios para mantener o captar clientes, independientemente de cuál fuera su voluntad contractual.

Los datos de los niños merecen mención especial, por cuanto pueden ser menos conscientes de sus derechos y de los riegos o consecuencias de los tratamientos de sus datos, de forma que el Reglamento señala específicamente que en actividades de mercadotecnia, en la elaboración de perfiles, o al momento de recabar sus datos, hay que tomar cautelas especiales, algunas tan simples como es ofrecer la información básica del tratamiento de manera clara y adaptada a su capacidad cognitiva si los servicios se dirigen específicamente a ellos (principio de transparencia), o garantizar que los plazos mínimos de conservación puedan ser inferiores a los previstos para un adulto, o facilitar al interesado el derecho a la cancelación de sus datos o revocación del consentimiento cuando haya dejado de ser un niño. También se especifica que no pueden tomarse decisiones automatizadas de sus datos, sobre su perfil o personalidad, con efectos jurídicos vinculantes.

En relación con las fotografías no hay novedades concretas, tan sólo se incluye una previsión “aclaratoria” en los considerandos, diciendo que si bien ofrecen datos biométricos, “no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física”. Esta aclaración no aclara nada, porque la imagen de una persona precisamente reúne numerosos elementos identificativos que la hacen única y diferente del resto sin necesidad de más información, pero no sólo, sino que son reveladoras de datos sensibles, como la raza, religión, circunstancias especiales físicas o de salud, etc.

DERECHO AL OLVIDO

Para terminar con las novedades más destacadas hay que hacer referencia a la concreción del famoso “Derecho al Olvido”, y su equilibrio con los derechos fundamentales a la libertad de información y expresión.

El Reglamento lo recoge como “derecho de supresión” (art. 17), pero en realidad estamos ante una figura que reformula o remezcla los tradicionales derechos de acceso, rectificación, cancelación y oposición, o su alcance dependiendo de dónde o cómo se quiera ejercitar. En general el término “supresión” se queda corto, pues lo que pretendemos en realidad al invocarlo es la inmediatez, y que los buscadores impidan el acceso a datos personales desde el posicionamiento de los resultados de su actividad, pero no borrarlos en sentido estricto.

La dificultad que entraña borrar datos en Internet es incuestionable, ya que el responsable último frente al interesado será siempre el “editor” de la información, y no siempre es posible contactar con él. Por eso también se amplía la responsabilidad ante el legítimo interés del afectado, de forma que, como explica el Considerando 66, “el responsable del tratamiento que haya hecho públicos datos personales esté obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas de tales datos. Al proceder así, dicho responsable debe tomar medidas razonables, teniendo en cuenta la tecnología y los medios a su disposición, incluidas las medidas técnicas, para informar de la solicitud del interesado a los responsables que estén tratando los datos personales”.

No es unánime la opinión de los expertos sobre cómo se debe llevar a la práctica o incluso sobre las consecuencias jurídicas de no hacerlo para el responsable del tratamiento, y más aún, cuando entran en conflicto derechos como la libertad de información o de expresión. El Reglamento en este sentido se ha limitado a exhortar a los Estados Miembros a “conciliar las normas que rigen la libertad de expresión e información, incluida la expresión periodística, académica, artística o literaria, con el derecho a la protección de los datos personales”. Más que un poder legislativo, será la experiencia la que continúe la concreción de esta fórmula de “oponernos” a un tratamiento de datos.

Por último, dónde acudir a pedir amparo de nuestros derechos. Por una parte, reseñar que ya no va a ser obligatorio que los responsables de tratamiento registren sus ficheros en la Agencia de Protección de Datos, y esto en cierta forma es algo negativo, pues resta una fuente de información importante para que el ciudadano pueda localizar al responsable.

Por otra parte, se instaura el “mecanismo de ventanilla única”. Este sistema supondrá que el interesado va a poder presentar las reclamaciones en su país de origen, que la autoridad competente lo admitirá o no, y si lo considera, le dará debido trámite para que sea la autoridad de control del país dónde el responsable tenga su establecimiento principal, la que adopte la decisión final que corresponda[6]. Además, esta norma recuerda, como opción perfectamente válida para la correcta defensa de los intereses, que los ciudadanos deben “tener derecho a conferir mandato a una entidad, organización o asociación sin ánimo de lucro que esté constituida con arreglo al Derecho de un Estado miembro, tenga objetivos estatutarios que sean de interés público y actúe en el ámbito de la protección de los datos personales, para que presente en su nombre una reclamación ante la autoridad de control”.

En definitiva es una norma muy preocupada por la gestión eficiente de los riesgos y por dar solución inmediata y práctica a las incidencias, hasta el punto de que incluso recomienda a las autoridades de control que incluyan entre sus tareas la adopción de medidas educativas para responsables y encargados del tratamiento. Algo que en cierta forma podemos prever asumirá el llamado “delegado de protección de datos”, y quién sabe si al final la mejor aportación de este nuevo Reglamento sea la posibilidad de esta figura de actuar como mediador entre responsables de tratamiento e interesados.

————————————————

[1] Considerando 19.- La protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal por parte de las autoridades competentes a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o de la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública y la libre circulación de estos datos y su prevención, es objeto de un acto jurídico específico a nivel de la Unión. El presente Reglamento no debe, por lo tanto, aplicarse a las actividades de tratamiento destinadas a tales fines.

[2] Considerando 23.- (…) “Si bien la mera accesibilidad del sitio web del responsable o encargado o de un intermediario en la Unión, de una dirección de correo electrónico u otros datos de contacto, o el uso de una lengua generalmente utilizada en el tercer país donde resida el responsable del tratamiento, no basta para determinar dicha intención, hay factores, como el uso de una lengua o una moneda utilizada generalmente en uno o varios Estados miembros con la posibilidad de encargar bienes y servicios en esa otra lengua, o la mención de clientes o usuarios que residen en la Unión, que pueden revelar que el responsable del tratamiento proyecta ofrecer bienes o servicios a interesados en la Unión”

[3] Considerando 24.- (…) “Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes”.

[4] Considerando 57.- “Si los datos personales tratados por un responsable no le permiten identificar a una persona física, el responsable no debe estar obligado a obtener información adicional para identificar al interesado con la única finalidad de cumplir cualquier disposición del presente Reglamento. No obstante, el responsable del tratamiento no debe negarse a recibir información adicional facilitada por el interesado a fin de respaldarle en el ejercicio de sus derechos”.

[5] Considerando 68.- (…) “los interesados que hubieran facilitado datos personales que les conciernan a un responsable del tratamiento los reciban en un formato estructurado, de uso común, de lectura mecánica e interoperable, y los transmitan a otro responsable del tratamiento… El interesado debe tener derecho a que los datos personales se transmitan directamente de un responsable del tratamiento a otro, cuando sea técnicamente posible”

[6] Aunque debemos tener en cuenta que este sistema no regirá cuando “el tratamiento sea realizado por autoridades públicas u organismos privados en interés público. En tales casos, la única autoridad de control competente para ejercer los poderes conferidos con arreglo al presente Reglamento debe ser la autoridad de control del Estado miembro en el que estén establecidos la autoridad pública o el organismo privado” (Considerando 128).

Comparte: