Teresa Pereyra Caramé
Socia de Ecija
A punto de cumplirse seis años de la entrada en vigor del Reglamento (UE) 2016/679 (LA LEY 6637/2016) de Protección de Datos de Carácter Personal (en adelante, RGPD) y cuatro desde su aplicabilidad directa en todo el territorio europeo, el RGPD (LA LEY 6637/2016) sigue acaparando titulares en prensa no exentos de polémica. Basta con introducir su nombre en cualquier buscador para comprobar la acumulación de noticias sobre distintos aspectos de su aplicación. Entre las más recientes, las relativas a la decisión de la Autoridad de Protección de Datos francesa (Commission Nationale de l'Informatique et des Libertés o CNIL), respecto de la infracción del RGPD (LA LEY 6637/2016) por parte de Google Analytics (1) ; el anuncio de Mark Zuckerberg según el cual estaría sopesando la posibilidad de cerrar Facebook e Instagram en Europa ante la imposibilidad de garantizar la protección de los datos de los ciudadanos europeos en el marco de las transferencias internacionales de datos implícitas en el uso de sus servicios; cualquiera de las noticias relacionadas con la imposición de multas millonarias a gigantes tecnológicos o la sanción por parte de la Autoridad Belga al Interactive Advertising Bureau (IAB) por diversas infracciones de su marco de gestión del consentimiento (Transparency and Consent Framework o TCF) (2) .
La realidad es que tras estos años de recorrido el RGPD (LA LEY 6637/2016) sigue percibiéndose como un obstáculo en el plano empresarial.
Es innegable que el RGPD presenta actualmente distintos puntos de fricción con la realidad de mercado que, si no impiden, al menos complican en gran medida el tratamiento de datos que las empresas de todo el mundo llevan a cabo cada día en el marco de su actividad.
Es innegable que el Reglamento presenta actualmente distintos puntos de fricción con la realidad de mercado que, si no impiden, al menos complican en gran medida el tratamiento de datos que las empresas de todo el mundo llevan a cabo cada día en el marco de su actividad.
El ejemplo más destacado, es la problemática que rodea a las transferencias internacionales de datos, especialmente, aquellas que se dirigen hacia los EE.UU., que son un quebradero de cabeza para innumerables empresas y equipos jurídicos por cuanto las garantías requeridas tras la Sentencia Schrems II (3) emitida por el Tribunal de Justicia de la Unión Europea (TJUE), resultan sumamente difíciles de implementar y conciliar con las actividades de tratamiento sobre las que pivotan sus objetos de negocio.
Pero no es el único. La dificultad de usar determinadas categorías de datos como los datos de salud o biométricos, aun cuando el beneficio de hacerlo pudiera ser superior que la injerencia en los derechos de las personas; el uso de sistemas de reconocimiento facial y otras tecnologías emergentes como Blockchain o la Inteligencia Artificial; o la ausencia de criterios definidos y unánimes emitidos por las distintas Autoridades de control que pudiera contribuir a guiar en el despliegue de las medidas y garantías adecuadas, son otros de los grandes puntos negros a los que se enfrentan no sólo responsables y encargados de tratamiento sino el conjunto de players del sector de la privacidad.
Pero, si se valora la fotografía en su conjunto, hay otra realidad del RGPD (LA LEY 6637/2016) a la que quizá se presta menor atención.
En el plano empresarial, es innegable que el Reglamento está consiguiendo su objetivo de mejorar el grado de implantación de la normativa, el nivel de madurez del cumplimiento de las organizaciones y su concienciación respecto de la importancia de la privacidad. Esto permite que estas mismas empresas no sólo eviten sanciones sino ganar y conservar la confianza de sus clientes, integrar y aprovechar soluciones tecnológicas disruptivas abriendo su actividad a nuevas líneas de negocio e, incluso, monetizar interna y externamente el uso de la información que tratan. Tanto es así, que asistimos a la proliferación de empresas cuyo compromiso con la privacidad forma parte del ADN mismo de su actividad llegando a convertirlo en palanca de diferenciación.
Desde otra óptica, el RGPD (LA LEY 6637/2016) está contribuyendo a mejorar la cultura de la privacidad, tanto entre los titulares de los datos, que parecen ir tomando conciencia de la importancia de la toma de decisiones al respecto, como entre los profesionales de la misma, cuyo papel como procuradores de soluciones y pieza fundamental de su consecución es cada día más importante.
Asimismo, llama la atención la vis expansiva que el RGPD (LA LEY 6637/2016) está alcanzando más allá de la aplicación extraterritorial prevista en su artículo 3. Piénsese en la cantidad de países latinoamericanos cuyas normativas siguen la estela de los principios marcados por nuestro Reglamento o en la reciente aprobación de normas protectoras de la privacidad en países como China, cuyo régimen político y de protección de los derechos de sus ciudadanos se encuentra alejado de las democracias europeas. Movimientos todos ellos cuyo objetivo es homogeneizar garantías respecto del tratamiento de datos con el fin de facilitar las transacciones con la Unión Europea.
E, incluso, tomando como referencia los titulares de prensa, sorprende encontrar junto a los ya mencionados otros como el protagonizado por el Fiscal de Texas que ha demando a Meta (Facebook) (4) por capturar y utilizar datos biométricos (contenidos en los videos y las fotos subidas a las redes sociales) de millones de americanos sin obtener el consentimiento necesario o el que nos informa sobre la petición de una ley de privacidad para los consumidores formulada por cinco senadores de EE.UU. en respuesta al lobby de presión que al parecer ha venido ejerciendo Amazon para impedir la aprobación de medidas en defensa de la privacidad en 25 Estados (5) .
A la vista de lo anterior, no puede negarse que, sin perjuicio de las muchas cuestiones que aún deben pulirse alrededor de la aplicación del RGPD (LA LEY 6637/2016), éste ha sentado las bases de nuevo orden mundial en torno al derecho fundamental a la protección de datos de carácter personal y se consolida hasta el punto de que su influencia positiva empieza a dar la cara en múltiples frentes.
Podría decirse que no se equivocaba el Reglamento al adjudicarnos un nivel de madurez superior al del régimen anterior y esperar de todos los agentes involucrados un papel más activo. El principio de responsabilidad proactiva ha cambiado, sin duda, las reglas del juego y es, probablemente el origen de los logros alcanzados.
Y no sólo en lo que respecta a responsables y encargados de tratamiento, sino también respecto de los profesionales de la privacidad que como jugadores titulares parecen ir asumiendo que su rol también debe madurar para contribuir en la correcta interpretación de las normas y en la concepción de soluciones que proporcionen seguridad jurídica en situaciones como el uso de tecnologías disruptivas para el tratamiento de datos. Y, aunque es cierto que, entre el colectivo se manifiestan voces que echan en falta que las Autoridades de Control asuman un papel más activo o quizá más rápido a la hora definir criterios de interpretación e implementación del RGPD (LA LEY 6637/2016), no lo es menos que, como parte de este ecosistema, deben asumir su parte de responsabilidad.
Es, por tanto, quizá momento de reflexionar y abordar la privacidad, su interpretación y su conciliación con la realidad económica como un trabajo colectivo entre los distintos stakeholders del ecosistema y considerar la posibilidad de que, el principio de responsabilidad proactiva es, en cierto modo, aplicable a todos ellos.