LA PROTECCIÓN DE DATOS: 15 AÑOS ANTES Y 15 DESPUÉS…
28 DE ENERO DÍA EUROPEO DE LA PROTECCIÓN DE DATOS
LA PROTECCIÓN DE DATOS: 15 AÑOS ANTES Y 15 DESPUÉS…
Eduard Chaveli Donet
“Recordar es fácil para quien tiene memoria, olvidar es difícil para quien tiene corazón”
Gabriel García Márquez
- INTRODUCCIÓN
Escribo este artículo, con ocasión del Día Europeo de la Protección de Datos, como una breve historia de mi vivencia y visión de esta materia, desde mi dedicación profesional., en estos últimos 15 años. Así como para apuntar aquello que veo en el presente y lo que intuyo puede ser el futuro de la privacidad ante la inminente aprobación del Reglamento Europeo de protección de datos.
También me gustaría que fuese un homenaje a tod@s los que forman parte de la historia de esta materia apasionante, que es la protección de datos.
- 15 AÑOS ANTES
Aún recuerdo como si fuese hoy la primera vez que pude leer la Ley de protección de datos. Coincidió con la creación que yo mismo promoví (allá por el año 2000) de la sección de Abogados especialistas en Derecho Informático y de las Telecomunicaciones del Colegio de Abogados de Valencia. Por cierto, para la constitución de la citada sección invitamos a Miguel Ángel Davara, una de las leyendas vivas de esta materia. Le guardo un gran cariño. Y como olvidar aquellos famosos encuentros de Derecho Informático de Comillas. Aquellas comunicaciones … ¡¡¡ Qué tiempos !!!
Por allí circulábamos algunos jóvenes inquietos y también algunas personas más ilustres como D. Emilio del Peso (siempre con su peculiar pajarita) o quien ha sido para mí un gran referente en la materia y gran amigo: Jordi Bacaria.
Por entonces era Director de la AEPD D. José Manuel Fernández López y ya han pasado por la Agencia algunos directores, y cada uno ha puesto su granito de arena. En concreto han sido:
- Mar España Martí (2015-actualidad)
- José Luis Rodríguez Álvarez (2011- 2015)
- Artemi Rallo Lombarte (2007-2011)
- José Luis Piñar Mañas (2002-2007)
- Juan Manuel Fernández López (1998-2002)
- Juan José Martín-Casallo López (1993-1998)
De cada uno de ellos se podrán decir cosas mejores y seguro que también alguna no tan buena, pero yo me quedo con las buenas únicamente. Para no personalizar, simplemente decir que creo que han ido realizando aportaciones que tienen mucho que ver con el perfil de cada uno. Principalmente se ha notado mucho el perfil constitucionalista o administrativista, sin desmerecer otros perfiles, desde luego.
Por ejemplo en alguna época se llegó a pensar que la protección de datos era un derecho absoluto… y poco a poco y en parte gracias al trabajo de algún Director (y de algún que otro “azote” de los Tribunales) se ha ido entendiendo que siendo un derecho fundamental, ha de convivir con otros y la ponderación ha tenido que imponerse.
Por cierto, ahora tenemos por primera vez a una mujer como Directora de la AEPD, hito que hay que celebrar.
Junto a todos estos Directores, siempre ha estado, y esperemos que ahí permanezca, D. Jesús Rubí Navarrete: excelente jurista y erudito en la materia, a quien guardo el mayor respeto y admiración. Es además una grandísima persona con la que afortunadamente he tenido el privilegio de compartir momentos entrañables, e independientemente de la política o línea de actuación adoptada por el Director de turno, él siempre se ha mostrado firme con el principal objeto institucional, velar porque las entidades, públicas o privadas, realicen los tratamientos de datos personales conforme a Ley.
Pero, volvamos a la realidad a pie de calle. En el inicio de siglo, aquello de “Derecho Informático y de las Nuevas Tecnologías” sonaba a “algo extraño”, de hecho, cuando te decían: ¿a qué te dedicas? y decías: Soy abogado “normal”, pero me estoy especializando en Derecho Informático” te miraban con cara extraña.
Que decir, por supuesto, todos los inicios son duros y de una abnegación sobremanera, esfuerzos y sacrificios, para asentar los cimientos, en este caso, de una actividad profesional aun desconocida. Como todos quienes se embarcan en una nueva profesión u oficio, logras convencer a quienes te rodean en el ámbito familiar y profesional, para ofrecer tus servicios gratis (que no LOPD, a coste 0 , que es otra cosa sobre la que después hablaremos) y utilizarlos a modo “de conejillos de indias” para, de este modo, adquirir la inestimable experiencia, e ir creando y mejorando, el servicio y productos que se adentran en el tráfico económico. ”.
Del estudio y análisis de aquella Ley “extraña”, cuya predecesora por consiga constitucional, data del año 1.992, empezamos a destacar ciertos preceptos, que permitían definir la estructura de las principales obligaciones a cumplir y , con esto, trazar a efectos profesionales la columna vertebral o pilares, de un servicio robusto. Fue así como se concibió, para el mejor entendimiento y comprensión, de la materia, nuestro acuñado A, E, I, O, U de la protección de datos. Dada la naturaleza del cuerpo legal, plena de tecnicismos alejados de las habituales temáticas de las disciplinas jurídicas de un despacho de abogados nos obligó a adoptar una forma pedagógica con la que se explicase qué hacer para cumplir con esta Ley. De modo breve, citaré los pilares, que se han mantenido hasta hoy, como base de nuestro servicio:
- Notificación e inscripción de ficheros. Artículo 26.
- Deber de información en la recogida de datos. Artículo 5.
- Legitimación del tratamiento y cesiones. Artículos 6,7 y 11.
- Tratamiento de datos por cuenta de terceros. Artículo 12.
- Procedimiento para la atención de los derechos de los interesados. Artículo 13 y siguientes
- Artículo 9. Si bien, su desarrollo estuvo durante tiempo ”anclado” al entonces aún vigente RD 994/99 que tanto tiempo tardó en ser derogado por el RD 1720/2007 y con ello – entre otras muchas cosas- desarrollar las medidas de seguridad para los ficheros no automatizados que hasta entonces no estaban detalladas.
Obviamente, no están todos los artículos contemplados en la Ley, pero si los que engloban, como decía, las principales obligaciones. Sirva de muestra, que al adentrarnos en las resoluciones de la AEPD, los preceptos objeto de análisis son los que han sido objeto mayor número de sanciones.
Cierto es que, en determinados momentos, se han abordado con especial atención determinados tratamientos concretos o problemáticas como los relativos a los ficheros de solvencia patrimonial o crédito (especialmente relevantes por la proliferación de la morosidad en el estado de crisis); la videovigilancia; el envío de comunicaciones comerciales por vía electrónica; y ahora (estamos a la espera de cómo se vertebrará por las autoridades de control, tras la anulación del acuerdo Safe Harbour) las transferencias internacionales de datos.
De modo que, desde la entrada en vigor de la actual Ley Orgánica 15/1999, la AEPD, doctrina y jurisprudencia han ido adentrándose en los entresijos de la aplicación práctica de todos los preceptos. Aún así, me atrevería a decir, que todavía determinados preceptos, como el artículo 27, no han tenido mayor enjundia o disertación.
En fin, fue entretenido y bonito descubrir los pilares de la LOPD. También era divertido a nivel profesional y, al mismo tiempo osado, dedicarse a esto cuando aún no se publicaban ni informes jurídicos, ni resoluciones de la AEPD y, por tanto, el asesoramiento y la defensa de nuestros clientes, no estaba exenta de un criterio interpretativo subjetivo e ingenioso, tratando de que respondiera a los principios del Derecho.
Y es que “eran otros tiempos”. La web de la Agencia era de arquitectura y contenido muy básico. No sólo no tenía ni informes ni resoluciones, sino que padecía también de accesibilidad. Por no decir, y ahora recuerdo, el primer programa de notificación de ficheros o tratamientos de datos al Registro General de Protección de Datos, denominado por el acrónimo “RGPD”, menos mal que al cabo del tiempo apareció el “NOTA” y las sucesivas y mejores versiones, pues aquel primer programa obligaba a aportar toda una extensa información, que hacía muchas veces del trámite un verdadero calvario.
Ahora me viene una anécdota del momento, y es que las malas lenguas decían entonces, como una leyenda urbana, que algún que otro despacho de la capital, tenía acceso a expedientes o “información” de la AEPD y disponían de una magnífica base de conocimiento, vamos que debían tener un auténtico “tesoro”, anhelado por cualquiera del resto de profesionales que nos adentrábamos cada vez más en la materia. Seguro que será eso: leyenda urbana …
Después llegó un largo tiempo, en el que la protección de datos vivió, a nivel profesional, años gloriosos.
Primero fue con la llegada del ansiado reglamento de desarrollo de la LOPD. El proceso de su elaboración fue bonito, con “circulación o acceso” a borradores del mismo, y con un momento brillante, el curso de verano de la Universidad Internacional Menéndez Pelayo (UIMP). Fue un evento de auténtica comunión entre quienes nos dedicábamos a esta materia a pie de calle y la Agencia. Comunión que llegó a su culmen con el entrañable “rap del reglamento”… quienes ahí estuvisteis, sabéis a que me refiero….
Y en aquel momento España se convirtió aún más en el punto de mira sobre la Privacidad a nivel mundial. Y así vino la celebración de la conferencia internacional de autoridades en protección de datos.
http://www.privacyconference2009.org/index-ides-idweb.html
También por aquel entonces, muchos de los que nos autodenominamos “locos del club del dato”, dimos un paso adelante y creamos una asociación en la que convergeríamos profesionales e instituciones del ramo, nació la Asociación Profesional Española de Privacidad (APEP), a la que dedicamos mucha ilusión, tiempo y esfuerzo.
Eran necesarias asociaciones que protegieran y ayudasen a los profesionales de esta emergente disciplina, y como era lógico, no sólo se constituyó la APEP sino también surgieron otras, como desde el ISMS FORUM, que creó el Data Protection Institute.
Hubiera sido bonito que el ecumenismo que algunos practicamos en esta materia hubiese fraguado, pero ya sabemos: la condición humana…
La APEP, en la que yo estoy, por la que trabajé mucho (y especialmente por las certificaciones y cuyo trabajo empieza a dar sus frutos) ha ido creciendo y nos tenemos que felicitar todos de ello.
Fueron tiempos muy bonitos y de esplendor en el ámbito profesional de la protección de datos. Y ya se sabe, cuando una materia empieza a emerger y a crecer en volumen empiezan a llegar “los del pelotazo”, y pronto salieron las fórmulas de “duros a cuatro pesetas”, y así surgió la “LOPD COSTE 0”. Una descripción de esta práctica se puede ver en el siguiente enlace:
http://www.gesdatos.com/tripartita/
Resumidamente, podríamos decir que se trata de aprovechar los fondos de la tripartita y utilizarlos, en vez de para realizar formación, para encubrir una consultoría gratis, con cargo a dichos fondos. Por supuesto, también luchamos contra eso desde la APEP, no en balde, decir que creé aquel LOGO de lucha contra la LOPD COSTE 0, el cual cedí para su uso), parece que ahora – como siempre suele pasar – muchos años después empieza a haber algún fruto…
También en aquellos años de esplendor, sobre el año 2008, se instauraron las sesiones anuales de la Agencia; Para nosotros, los “locos del club del datos” decíamos que era como celebrar, cual alocado adolescente, un “macrobotellón LOPD”, nos permitía conocer de primera mano las novedades en la materia, criterios, hacia donde se iba, poder plantear preguntas, etc., y – porqué no reconocerlo – tomarnos unas cervezas con otros colegas del dato.
Y, continuando por cuanto afecta a la materia de privacidad en sí, como decía tampoco se ha detenido, y en nuestros días está cobrando mayor protagonismo, pues trata de encontrar respuesta a nuevos ámbitos de socialización o relación entre personas, empresas, Administraciones o estas entre sí. La privacidad continúa enfrentándose al reto de adaptar un marco regulador a las novedades como el “Big data”, “Internet de las Cosas”, “Cookies”, “Smarticities”… y todas aquellas otras que nos vendrán de la mano de los avances tecnológicos.
La protección de datos de carácter personal, la intimidad o la privacidad, ha llegado a calar en otros cuerpos legislativos, siendo tratado incluso de forma particular en los ámbitos que regula. Y, esto ha supuesto para el profesional, tener que salir de su zona de comodidad y adentrarse en la amplitud de todo el ordenamiento jurídico. Además, de abordar las intersecciones con otras materias, como el Esquema Nacional de Seguridad (ENS), con la Transparencia y el derecho de acceso a la información pública, etc.
En este último lustro empezaron a proliferar los blogs como fenómeno generalizado para la transmisión de conocimiento y, como no, surgieron los asociados a la protección de datos. Una herramienta que dio viralidad a la materia, aunque a veces no exenta de poco rigor. Pero mejor citar algunos blogs buenos como por ejemplo: el ya histórico de Samuel Parra (https://www.samuelparra.com) o el recientemente galardonado como mejor blog de Protección de Datos por la Agencia Vasca de Protección de Datos (http://www.privacidadlogica.es/author/fcojavier/) de Javier Sempere, Alfonso Pacheco y Salvador Montero.
Desde luego que me dejo muchos acontecimientos, hechos y anécdotas, pues es imposible resumir 15 intensos años, en tan poco espacio. Alguien que lee el artículo me dice que me he olvidado de algunas zancadillas incluso codazos y le contesto: “no me acuerdo”, “si los ha habido son lances del partido”. De un partido que continúa pues sólo estamos al final de la primera parte o quizá del primer cuarto (según el deporte al que juguemos).
- 15 AÑOS DESPUÉS
Mirar hacia atrás sólo era una excusa para parar y empezar a mirar hacia delante. Y lo que parece que se avecina con el nuevo Reglamento europeo es de nuevo 15 años (o más) de ilusión, para crecer como juristas u otro perfil en este ámbito profesional.
La LOPD ha superado no sólo su mayoría de edad, ha tenido que “pelearse” con otros derechos como la seguridad – y lo que le queda en esa pelea – y empieza a convivir con otros derechos y deberes, a los que limitará procurando no desvirtuar, estos son, la transparencia y el derecho de acceso a información pública.
Dedicarse a la protección de datos supone para los profesionales entender que hay que estudiar mucho para conocer los recovecos de esta materia, en cada tratamiento y la literatura existente para cada obligación; entender que las normas no son islas y que existen intersecciones entre otras normas y la LOPD y entre el Derecho a la protección de datos y otros derechos. Y – por último – que el Reglamento Europeo (sin cambiar todo los pilares básicos de la privacidad, pues se mantiene la regulación de las relaciones con terceros, los derechos de los interesados, la legitimación/licitud del tratamiento, el principio de seguridad, etc…) va a obligar a mucho estudio y trabajo.
Y ahí estamos de nuevo: ilusionados como un niño con zapatos nuevos…
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
Como siempre: humano, técnico, riguroso, preciso y proactivo.
Un referente en la materia.
Gracias.
Un gran repaso Eduard. Se me queda una sonrisa ‘tonta’ recordando aquellos maravillosos años y los que vendrán… Vivencias compartidas, unas más que otras, fui alumna del Master en Derecho de las TIC del querido Profesor Davara en el curso 2001-2002 y después hemos ido creciendo, coincidiendo más o menos, como en APEP, pero siempre dedicados a este club de los ‘locos por el dato’. Muchas gracias por tu relato. Un abrazo para un pedazo profesional!!
Felicidades Eduard, sabes que siempre te he tenido por un referente en la materia. Recuerdo aquella famosa conferencia del profesor Davara, siendo tú el responsable de la Sección de Derecho informático del ICAV. Has hecho un repaso exhaustivo y ameno a la vez, cosa que no es fácil. Espero que con el nuevo Reglamento Europeo se pueda dar un impulso a la protección de datos, y que desaparezcan aquellos que la han tomado como si de venta de aspiradoras se tratara. Un abrazo.