Elena Davara Fernández de Marcos
Socia de Davara&Davara Asesores Jurídicos. DPO de diversas entidades
Doctora en Derecho
Cuando me invitaron a escribir este artículo —invitación que agradezco especialmente a mi admirado compañero y amigo Ricard Martínez— me debatí mucho sobre el título del presente trabajo. Estuve entre dos: el que finalmente escogí «RGPD: sueños cumplidos y sueños por cumplir» y este «RGPD: afortunadamente...nos hacemos mayores». Así que, partiendo de estas dos ideas fundamentales, voy a intentar trasladar al lector algunas ideas que me vienen a la cabeza después de casi seis años desde la entrada en vigor del archiconocido Reglamento General de Protección de Datos (LA LEY 6637/2016).
Empezaré basándome en el primer —y definitivo— título que me vino a la cabeza: «RGPD: sueños cumplidos y sueños por cumplir». Quién dice sueños, dice retos, metas u objetivos. Son todo sinónimos. Y es que, desde que entrara en vigor el 25 de mayo de 2016 —y pese a que el legislador dio un plazo de dos años para que todas las entidades hiciesen el tan necesario «cambio de chip» y fuera, por tanto, de directa aplicación y de obligado cumplimiento desde el 25 de mayo de 2018— han sido varios los objetivos que se han ido cumpliendo, siquiera de manera indirecta o parcial, a lo largo y ancho de la Unión Europea.
Para ser conscientes de los objetivos cumplidos, lo que me parece más adecuado es partir de los objetivos que el propio legislador europeo se fijó cuando empezó a trabajar en la norma que derogaría la que, hasta el momento, había presidido la defensa y protección del derecho de protección de datos en la Unión Europea durante, ni más ni menos, 21 años (1) . Dichos objetivos (2) fueron, a grandes rasgos, siete:
-
1. Abordar el impacto de las nuevas tecnologías
-
2. Aumentar la transparencia para los interesados
-
3. Garantizar a las personas una protección adecuada en cualesquiera circunstancias
-
4. Reforzar el control sobre los propios datos
-
5. Sensibilización.
-
6. Garantizar un consentimiento informado y libre
-
7. Reforzar la eficacia de las vías de recurso y las sanciones
Dado lo limitado del espacio y habida cuenta de que no se trata el presente trabajo ni de un trabajo de investigación ni de una obra dedicada a hacer un análisis exhaustivo de la materia, me limitaré a enunciar brevemente algunos de los éxitos —o, siguiendo la expresión elegida, de los sueños alcanzados— que han visto la luz desde la llegada del RGPD.
En primer lugar, el RGPD ha hecho frente al impacto de las TIC (3) . ¿Una muestra? El propio concepto de datos personales que incorpora el artículo 4 del texto europeo y que ha dejado claro que los perfiles —sí, sí, también los de las redes sociales— han de quedar amparados por la normativa. En segundo lugar, el RGPD, a través de su extenso —e intenso, si se nos permite la expresión— deber de información regulado en su artículo 13 y su énfasis en la transparencia ha hecho que, en gran medida, las tediosas condiciones de uso y políticas de privacidad sean más entendibles, más claras, más directas...Y si no, que le pregunten a la Caixa (4) o al BBVA (5) que han tenido que hacer frente a cuantiosas sanciones (6) que han alcanzado los cinco y seis millones de euros por, entre otras cosas, ofrecer información poco clara y transparente sobre el tratamiento de datos personales.
La obligatoriedad del consentimiento expreso para todo tratamiento de datos personales ha hecho, sin lugar a duda, que el interesado, ahora más que nunca, sea consciente de para qué da sus datos personales
Ahondando en esta idea, el tercer, el cuarto y el sexto objetivo anteriormente transcritos pueden resumirse en que la obligatoriedad del consentimiento expreso para todo tratamiento de datos personales ha hecho, sin lugar a duda, que el interesado, ahora más que nunca, sea consciente de para qué da sus datos personales. Aunque, en mi opinión, este logro sea, seguramente, de los que se ha conseguido parcialmente —pero es lo dejamos para más adelante cuando hablemos de los «sueños por cumplir»—.
Por su parte, la sensibilización —relacionada especialmente con los menores y con su presencia constante en las redes sociales y los videojuegos— también es un objetivo que se ha cumplido en gran medida, aunque queda mucho por hacer, sin duda. ¿Ejemplo de cumplimiento de este objetivo? Todas y cada una de las campañas que lleva a cabo la AEPD (7) aunque, de manera especial, queremos mencionar —y recomendar e incluso pedir la difusión de su existencia a todo aquel que lea estas líneas en la medida en que pueda— del Canal Prioritario (8) que permite la eliminación rápida de contenido sexual o violento de las redes sociales.
Dado lo limitado del tiempo, entramos ya en «los sueños por cumplir». Como comentaba, aunque el RGPD ha supuesto muchísimos avances y objetivos cumplidos, lo cierto es que aún queda mucho por hacer, que en este punto me limitaré a enunciar con el único ánimo de hacer reflexionar al lector, planteándolas en forma de pregunta: ¿Son suficientes las campañas de sensibilización para que los menores sean conscientes de la importancia de no publicar sus datos personales en las redes sociales? ¿Las políticas de privacidad son lo suficientemente transparentes y entendibles para que todos los usuarios sepan, en todo momento, con qué finalidad se tratan sus datos personales? ¿Las entidades adoptan todas las medidas de seguridad necesarias para dar cumplimiento al principio de integridad y confidencialidad? ¿Todas las entidades obligadas a ello cuentan con un Delegado de Protección de Datos? ¿Todos los trabajadores reciben la formación adecuada en materia de protección de datos? En nuestra opinión, y por desgracia, la respuesta a todas ellas es no. Sin embargo, y tal y como decía Machado, «Caminante no hay camino, se hace camino al andar... ». Así que, para que la respuesta a todas estas preguntas —y a muchas otras— sea sí, es necesario seguir «andando» en el camino del cumplimiento —y del compromiso con el cumplimiento— en materia de protección de datos.
Finalizo el presente artículo casi como lo comencé... explicando la razón de ser del título «RGPD: afortunadamente... nos hacemos mayores». ¿A qué me refiero con esto? A la importancia de ser conscientes de que el RGPD no es, ni mucho menos, la primera norma en materia de protección de datos... de hecho, en lo que respecta a España llega casi 30 años después de nuestra primera norma (9) .
Y es que, pese a la frase tan de moda hoy en día de «Los 30 son los nuevos 20», en materia de protección de datos debemos ser conscientes de que 30 años son ya un tiempo más que suficiente (10) para exigir un cierto nivel de responsabilidad, de conocimiento, de acción...Y es eso, precisamente, lo que hace (o, al menos, lo que pretende) el legislador con el RGPD. ¿Y cómo lo hace? Con el famoso principio de Accountability, ese «principio de principios» que exige que el responsable del tratamiento no se limite al cumplimiento de los principios esenciales de una manera «vaga» sino que implica exigir un mayor grado de cumplimiento que suponga un doble deber: de un lado, el deber de cumplir en todo momento, de manera constante y, de otro, el deber de documentar todas las acciones, con todo el esfuerzo que todo ello supone.
De alguna manera, podría concluir afirmando que el legislador «confía más» en los responsables y encargados del tratamiento. Confía en su capacidad de poner la privacidad en su ADN (11) y confía en su capacidad de adoptar todas las medidas para dar cumplimiento a ese principio de Accountability sobre el que gira todo el RGPD... Y confía —creo yo— porque considera que, después de 30 años, ya tenemos un cierto grado de madurez... Y, a mayor confianza y madurez, mayor responsabilidad.
Así que, sí, grito a los cuatro vientos, sin duda, que «afortunadamente nos hemos hecho mayores en materia de protección de datos» y el legislador europeo, consciente de esa madurez, nos exige ir un paso más allá, tomárnoslo más en serio...Y eso es lo que tenemos que hacer: —todos: responsables y encargados de tratamiento y, por supuesto, los interesados— tomárnoslo en serio, ponernos manos a la obra y poner en juego esa madurez basada en la experiencia de más de treinta años en pro del derecho fundamental de protección de datos. ¡Vamos a ello!