Hoy se celebra el Día europeo de la protección de datos y, con este motivo, el grupo de abogados expertos en TIC ENATIC, celebró ayer una jornada dedicada al análisis de los retos que la privacidad y la protección de datos van a presentar en los próximos meses.
A continuación recogemos los principales temas abordados y las conclusiones alcanzadas.
La protección de datos como oportunidad para los abogados
En la apertura del acto, Lucas Blanque, director de los servicios jurídicos del Consejo Superior de la Abogacía Española señaló que estos son buenos tiempos para los profesionales dedicados a la protección de datos, pues el nuevo Reglamento europeo, recientemente acordado, va a generar nuevas necesidades de asesoramiento para los clientes, especialmente para las empresas.
Por su parte, el recientemente reelegido presidente de ENATIC, Rodolfo Tesone, señaló que el reto fundamental que deben abordar los abogados que se dedican a esta especialidad es la de la digitalización de la mayoría de actividades que van a realizar los seres humanos en los próximos años y sus efectos sobre los datos que con ello se generan y el uso que se hagan de ellos.
Además, pese a las nuevas oportunidades profesionales que van a surgir en este ámbito, los abogados van a tener que enfrentarse también a las consecuencias de la liberalización de las actividades de asesoramiento sobre esta materia, que trae como consecuencia la presencia de otros profesionales como informáticos o ingenieros en este campo.
La abogacía debe hacer frente a esos desafíos ofreciéndose como un colaborador diferenciado para los clientes, ganándonos su confianza al ofrecerles un mayor valor añadido por nuestros servicios y generando dinámicas de productividad, por medio de recursos como la economía colaborativa o el trabajo en red, que permitan una reducción de costes.
Y todo ello sin olvidar que la abogacía debe ser quien lidere los procesos profesionales y legislativos en este ámbito, pues es evidente la falta de interés político por estos temas.
Los retos de la protección de datos para 2016
Borja Adsuara moderó la mesa redonda del mismo título, y presentó los temas que el consenso de los expertos presentó como los de más indudable relevancia para este año:
- Los aspectos relativos al Safe Harbor
- El nuevo Reglamento europeo de protección de datos
- La estrategia europea del mercado digital y el impulso de las iniciativas para el libre flujo de datos personales.
Y añadió que en un futuro próximo otro reto no solo será la protección de los datos, sino su gestión.
1. Los problemas derivados de la anulación del acuerdo de Safe Harbor
Según expuso Julián Plaza, como consecuencia de la sentencia del TJUE de 6 de octubre de 2015 (asunto C-362/14), que anuló el régimen de Safe Harbor aplicado a Estados Unidos en materia de transferencia internacional de protección de datos personales, a finales de este mes de enero vence el plazo que las autoridades europeas de protección de datos dieron a los legisladores para que se encontrara una solución adecuada para resolver este problema.
Si bien parece que la AEPD no va a iniciar por el momento acciones sancionadoras por este motivo, las alternativas que se ofrecen, a falta de una nueva regulación, son:
- Intentar acogerse a las excepciones previstas en el art. 34 de la LOPD (lo que no parece sencillo).
- Pedir una autorización específica a la Agencia (tampoco parece sencilla)
- Migrar los datos a un Data Center situado fuera del Espacio Económico Europeo.
Paula Ortiz (directora de Legal and Institutional Affairs de IAB Spain) señaló a este respecto que hay un compromiso político de los reguladores para que las empresas afectadas por esta transferencia de datos puedan continuar trabajando. Y ello pese a que subsiste la duda de si los Estados Unidos aprobarán una nueva normativa que permita acercar posturas con Europa sobre esta materia.
Javier Carbayo (Gerente del área del Compliance de Ecix Group), propuso a este respecto analizar en positivo el problema del fin del régimen del Safe Harbor. Esta situación ha permitido a muchas empresas aflorar transferencias internacionales de datos que no se conocían internamente, y eso es positivo para las empresas.
También apuntó que, en su opinión, se han dado los pasos correctos para solucionar el problema, y aunque la fecha del 31 de enero se ve como una especie de “efecto 2000”, seguramente ese día las empresas podrán seguir trabajando.
Rodolfo Tesone cerró este capítulo subrayando que una de las consecuencias de esta nueva situación es que las empresas se están interesando cada vez más por posibles “paraísos digitales”, o países situados fuera del Espacio Económico Europeo, desde dónde resulte más sencillo radicar centros de datos que permitan realizar sin tantos problemas esas transferencias a EEUU.
2. El nuevo Reglamento Europeo de protección de datos
El pasado 15 de diciembre, el Parlamento Europeo y el Consejo llegaron a un acuerdo sobre la reforma de las normas de protección de datos de la UE, por medio de dos instrumentos legislativos: un Reglamento que establece un marco general en la UE para la protección de datos y una Directiva relativa a la protección de datos personales tratados para los fines de prevención, detección, investigación o enjuiciamiento de los delitos y las actividades judiciales relacionadas.
Paula Ortiz señaló como aspectos principales de este Reglamento:
- Es una norma muy compleja, ambigua y estricta a la vez.
- En cuanto a su ámbito de aplicación, se amplía el carácter de lo que son datos personales, para incluir los denominados “identificadores on line” de los usuarios, como son las cookies.
Debe tenerse en cuenta a este respecto que el nivel de protección de los datos depende “de los medios que se puedan emplear para su tratamiento”, pero que estos medios dependen del actor que intervenga en el tratamiento (diferentes actores pueden dar diferententes tratamientos, según sus recursos).
- Se reconoce el “Dato seudónimo” (el que impide conocer a la persona que está detrás de la denominación del titular de los datos), pero especialmente como una medida técnica u organizativa.
- El consentimiento del titular de los datos pasa a ser la piedra angular en el entorno de la protección de datos.
Y aunque todavía no está muy claro cómo se va a regular, parece que este consentimiento deberá ser “inequívoco”, pero este concepto está muy próximo al hasta ahora denominado “expreso”.
- Además, se plantea la duda de cómo va a sobrevivir al reto de la continuación evolución de la tecnología ¿Será capaz de satisfacer las necesidades que se van a derivar de esta evolución, por ejemplo, servirá para la Internet de las cosas o instrumentos como las Google glass? ¿podrá envejecer bien, ser Future proof (a prueba del futuro)?
- ¿Cómo van a adaptarse las empresas a las exigencias que les va a plantear?
Sobre este último punto, Julián Plaza consideró que el nuevo Reglamento va a suponer mucho trabajo de compliance para los abogados.
Y Borja Adsuara subrayó la importancia que habría que dar a posibles nuevas figuras como el Delegado de protección de datos, no solo para proteger los que trata una empresa, sino también para la adacuada gestión interna de su uso. Igualmente planteó la posibilidad de “Agentes de Protección de Datos” que, a semejanza de los Agentes de la propiedad industrial, sirvieran para la solución amistosa de los conflictos sobre estos temas.
3. La estrategia europea del mercado digital y las iniciativas para el libre flujo de datos personales
Sobre este tema los ponentes destacaron que los datos personales están ganando cada vez mayor valor económico, son el nuevo petróleo, como se ha dicho por algún analista.
Y ello conlleva importantes consecuencias tanto desde el punto de vista civil (en cuanto que se pueda comerciar con los mismos), como fiscal (por las derivadas fiscales de dicha valoración y comercialización por sus titulares).
A este respecto Borja Adsuara destacó que, en su opinión, lo importante es proteger no tanto la intimidad de los titulares de los datos, como su libertad para disponer de ellos, pues la intimidad no es embargable pero, sin embargo, es un bien con el que se puede comerciar (como se comprueba fácilmente en el caso de muchos famosos).
Por ello, lo importante es regular el tráfico económico de esos datos, para que se pueda proteger y fiscalizar, evitando la existencia de “paraísos digitales”, cuya opacidad favorezca el abuso y el descontrol.
En este sentido, se destacó también que Europa debería fijarse en otras economías, como la americana, capaces de anticipar los cambios que estas nuevas concepciones necesitan.
La privacidad, como señaló Adsuara, va a generar riqueza individual e industrial.
El control de las comunicaciones electrónicas en las empresas
Al hilo de la reciente sentencia del TEDH de 12 de enero de 2016 (asunto 61496/08, Barbulescu), Leandro Núñez (socio de Audens), repasó la actual situación de la posibilidad de control de las comunicaciones electrónicas de los trabajadores en las empresas.
Comenzó señalando que, pese al revuelo mediático despertado, esta sentencia no viene a modificar sustancialmente los derechos de los trabajadores de nuestro país en esta materia, pues aquí los tribunales ya han establecido una doctrina al respecto.
La sentencia Barbulescu se centra en la expectativa razonable de privacidad o confidencialidad que un trabajador puede tener en el ámbito de su relación laboral y la proporcionalidad del control que el empresario puede ejercer sobre sus comunicaciones cuando utiliza medios de la empresa.
Si las regulaciones internas de la empresa sitúan esa expectativa de privacidad en un nivel bajo y las técnicas de control aplicadas al respecto son razonables, las sanciones derivadas de la identificación por el empresario de que el trabajador ha incurrido en algunas de las conductas prohibidas, pueden ser consideradas ajustadas a derecho.
Actualmente en España las dudas sobre estas cuestiones se centran en aspectos cómo:
- ¿Hasta dónde alcanza el uso consentido de los medios de comunicación de la empresa para fines particulares del trabajador?
En un tiempo en que la movilidad permite la comunicación a través de múltiples dispositivos, en el que la duración de la jornada laboral tiende a prolongarse indefinidamente, con motivo de la utilización de esos dispositivos, combinando permanente lo profesional y lo personal y en la que principios como el “Bring your own device” comienzasn a ser cada vez más frecuentes ¿hasta dónde llega un uso de los medios empresariales que pueda considerarse consentido o razonable?
- A la luz de la nueva redacción del art. 31 bis del Código Penal ¿Cómo pueden aplicarse por las empresas unas medidas de control que sean efectivas y que, a la vez, al haber sido aplicadas por personal a su servicios, no la hagan incurrir, en su caso, en algún supuesto penalmente relevante, por ejemplo, por revelación de secretos?
- La concurrencia de diferentes niveles de exigencia por los tribunales de diferentes jurisdicciones (laboral y penal especialmente), en cuanto a las posibilidades de control por el empresario, crean incertidumbre en cuanto a las posibilidades y requisitos de efectuar ese control.
Hay una cierta impresión de estar ante conceptos jurídicos indeterminados.
0 comentarios :
Publicar un comentario