Algunas reflexiones sobre el nuevo Reglamento Europeo de Proteccion de Datos

Por Javier Puyol, abogado, socio de Ecix Group y magistrado excedente

Es verdad que han transcurrido más de 20 años desde que se aprobara la Directiva 95/46/CE, que tanto ha significado en la implantación y en el desarrollo de la privacidad en el ámbito de la Unión Europea, y por ello, sin duda, en estos momentos donde se ha dado paso a su derogación , creo que es de justicia reconocer el papel, la importancia, y el significado que ha tenido dicha norma para los ciudadanos y la sociedad en general, y especialmente, para aquellos profesionales que nos hemos dedicado a aplicarla junto con sus normas de desarrollo.

El nuevo Reglamento nace con importantes mejoras técnicas desde la perspectiva legislativa y la consolidación de los derechos de los ciudadanos, y sobre todo, recoge toda la experiencia sobre esta materia durante este amplio periodo de tiempo, donde tanto la tecnología como las propias prácticas y costumbres sociales han sufrido una más que importante evolución. Prueba de ello, la encontramos en el mismo concepto del derecho a la intimidad, que ha sufrido profundas modificaciones desde aquellos tiempos en los que los legisladores constitucionales diseñaron el contenido del artículo 18.4 de nuestra Constitución de 1.978. Esta evolución, como se ha anticipado, tiene un mayor reflejo en el desarrollo de instituciones y técnicas como internet, correo electrónico, Cloud Computing, Big Data, Internet de las Cosas (IoT), la informática en general, o los dispositivos móviles en su más amplia extensión. Todos estos elementos han aportado nuevas consideraciones jurídicas, amparadas en nuevas y consolidadas prácticas sociales, a las que la legislación, especialmente en esta materia, no puede en absoluto dar la espalda.

Cuando en el momento presente debemos hacer unas primeras reflexiones sobre la futura norma comunitaria, surgen muchas cuestiones e incertidumbres. Estas notas, sin perjuicio de efectuar un juicio de valor favorable a la nueva norma, principalmente por la necesidad que esta materia tenía de una nueva actualización legislativa, no se sabe si responde puntualmente a las expectativas y esperanzas que la ciudadanía y las instituciones tenían depositadas en la misma. Por ello, estas notas tratan de poner de manifiesto algunas cuestiones relevantes, y la preocupación que de las mismas surge.

Hoy en día sin lugar a dudas hay que reconocer el esfuerzo colectivo llevado a cabo tanto por la Agencia Española de Protección de Datos, como los autonómicas, con especial reconocimiento a las personas y funcionarios que las han integrado durante estos años, por implantar la nueva normativa de privacidad, creando una cultura singular y propia que calara en el ADN de toda clase de prácticas jurídicas y sociales. En este esfuerzo han colaborado activamente los ciudadanos y la sociedad en general, sin cuya ayuda no hubiera sido posible expandir la misma. Del mismo modo, cabe reconocer la labor que en esta tarea de difusión han llevado a cabo los profesionales de la privacidad, sus asociaciones más representativas (ENATIC, APEP e ISMS, etc.), y los medios de difusión social (radio, tv, prensa escrita, periódicos digitales, blogs, redes sociales, etc.).

Y dicho esto, es necesario cargarnos de realismo y comprobar lo mucho que queda por hacer en la implantación en materia de la protección de datos de carácter personal, ello es especialmente relevante con relación a la nueva normativa, y los planteamientos sociales y culturales que la misma conlleva. El mapa geográfico de la LOPD en España demuestra las desigualdades existentes actualmente entre territorios, encontrándonos zonas de un gran desarrollo e implantación de la normativa sobre privacidad, frente a otras, donde la legislación de protección de datos sin duda no ha tenido el calado y la penetración que se esperaba.

Esta situación, lejos de solucionarse con la entrada en vigor y la aplicación efectiva del nuevo Reglamento, se va a complicar por múltiples razones. La primera de ellas, es que nuestro tejido empresarial está compuesto fundamentalmente por PYMES, y más pequeñas empresas, que medianas. De una primera lectura de dicha nueva normativa se vislumbra que la misma en buena lógica es fruto del pacto, llevado a cabo entre los diversos Estados de la Unión, los lobbys, y las multinacionales, pero no es posible determinar a ciencia cierta, que papel van a jugar en esta nueva regulación aquella tipología de empresas, que tienen una problemática especial, no coincidente necesariamente en muchos aspectos, con los tratamientos masivos de datos de carácter personal, propios de las grandes empresas multinacionales.

CONTROL DEL CIUDADANO

Otro aspecto relevante a tener en consideración es el que hace referencia a las grandes expectativas que el nuevo Reglamento había despertador con relación a los ciudadanos, y más concretamente a la posibilidad de que los mismos tuvieran de manera directa un mayor control sobre sus propios datos de carácter personal.

Es evidente que en la nueva normativa se contienen medidas importantes en esta materia, pero las mismas son fragmentarias, y si se permite la expresión, colaterales, por lo que no se encuentra con relación a este empoderamiento, novedad relevante alguna, sino que existe una política de índole material puramente continuista de la anterior normativa, con el agravante, que con la menor intervención que ahora con el Reglamento se pretende, se deja una mayor intervención a la autonomía privada, el problema radica, en si verdaderamente esta nueva modalidad de cierto autogobierno que se propone, caracterizado por la ausencia de un registro de ficheros, por la autonomía técnica y organizativa de cada responsable, unida a la libertad en materia de medidas de seguridad, se verá acompañada efectivamente por la responsabilidad, y la concienciación colectiva en esa voluntad de cumplimiento.

Pero es más, no solo influye la responsabilidad o la concienciación, sino que es más, en el nuevo escenario se exige algo más, ya que es imprescindible contar con los conocimientos técnicos y jurídicos que la nueva normativa exige. Ello tiene fiel reflejo en los múltiples conceptos que ahora se vierten, muchos de ellos imprecisos y ambiguos que exigen necesariamente una concreción, pues de ello dependen no sólo consecuencias jurídicas directas, sino inversiones materiales que hay que afrontar, y que están en función de la interpretación que se lleve a cabo de unos y de otros términos. Pero la reflexión pretende ir más allá, esta normativa no trata de ser llana ni comprensible, y mucho menos accesible para los ciudadanos en general, pese a tratarse de algo tan importante, como es la regulación de un derecho fundamental. Es sólo para expertos y serán ellos y sólo ellos quienes determinarán su alcance y su eficacia en cada caso.

Si antes se hacía alusión a la importante dosis de auto ordenación que esta normativa impone a los operadores jurídicos responsables de los tratamientos de datos, es evidente que estamos dando paso a una modalidad de privacidad donde debe primar de una manera mucho más poderosa la responsabilidad individual, y no solamente en un sentido ético del término, sino de manera principal, desde el punto de vista jurídico, ya que dicha auto determinación, debe suplir la falta de concreción de la nueva reglamentación, a contrario sensu de la LOPD, o del Reglamento para su desarrollo, por ejemplo en medidas de seguridad.

MÁS BUROCRACIA PARA LAS EMPRESAS

El nuevo Reglamento incrementa, del mismo modo, la burocracia existente en esta materia para las empresas en su conjunto. La presión regulatoria, probablemente termine siendo notablemente superior con relación a la anteriormente existente, y aquí surge la cuestión relativa a cual debe ser el papel que debe jugar el Regulador en la materia en este nuevo escenario, y si efectivamente va a contar con los medios y recursos para el desempeño de los nuevos roles que le vienen asignados por la normativa. El desarrollo de procesos y proyectos empresariales no pueden quedar bloqueados y dilatados porque se agolpen las consultas, sean estas previas o no, ante un Regulador que no tenga la adecuada dimensión para poder atender en un plazo más que razonable las propuestas que le sean efectuadas, constituyendo ello en estos momentos una previsión razonable que suceda, y una grave traba para el desarrollo de procesos muy relevantes y de un marcado contenido económico.

Por último, es necesario poner de manifiesto la preocupación por la uniformidad de la normativa europea que con este nuevo Reglamento se quiere llevar a cabo. Cada vez que se lleva a cabo una lectura del mismo, parece más evidente que el núcleo común regulatorio es menor, y por el contrario, cada vez es mayor la parte legislativa que se deja en manos de los Estados miembros para su concreción y determinación.

Cierto es que los principios y bases se sientan en este Reglamento, pero todo lo atinente a los procedimientos queda en manos de los legisladores locales, lo que pone en peligro la pretendida homogeneidad que se pretendida, porque es evidente que en los desarrollos normativos pendientes de elaborar, las divergencias y las disparidades se multiplicarán, configurando al final regímenes jurídicos diferentes, que no pondrán en peligro la seguridad jurídica, pero ciertamente la interpretación y la aplicación de estos derechos será desigual a lo largo de todo el ámbito de la Unión.

Al hilo de ello, es necesario recordar, que tal como sucedía con la anterior legislación al efecto, serán los principios que configuran específicamente la privacidad, los que constituirán la base normativa de interpretación y aplicación jurídica ante los nuevos fenómenos tecnológicos que sean fruto de la innovación y del desarrollo. El nuevo Reglamento, en este sentido, tiene una posición conservadora y materialmente continuista con la normativa actual, como ya se indicó anteriormente, lo que nos hará recurrir -sin solución de continuidad- a los mismos efectos de determinar las obligaciones que en cada caso competen a los responsables jurídicos que lleven a cabo los tratamientos de datos, y las consecuencias que de su realización, se deriven para tales operadores.

Finalmente, es importante recordar la importancia que tiene la privacidad como un fenómeno cultural,  que tiene que arraigar entre los ciudadanos y las sociedades en los que los mismos se integran, y en donde cada vez más se hace necesario que esta materia forme parte de las vivencias comunes de unos y de otras. Todos los esfuerzos que se lleven a cabo en pro de esta dirección tendrán de seguro consecuencias positivas, no lo que puede ser discutible, es si dichos objetivos se han de lograr principalmente con normativas que imponen a la postre la amenaza de un régimen sancionador, y, por ende, de una sanción en ciernes.