Protección de datos: un derecho y una profesión al servicio de la democracia
La nueva LOPD, publicada el pasado 6 de diciembre, no tuvo una repercusión equivalente a la entrada en vigor del RGPD
El 25 de mayo de 2018 fuimos todos conscientes de que entraba en vigor el Reglamento General de Protección de Datos europeo (RGPD). Y fuimos conscientes porque recibimos en tal fecha un volumen inusitado de misivas informándonos de nuevas prácticas de privacidad supuestamente ajustadas a la nueva normativa y, a veces, solicitando nuestro consentimiento al respecto.
El 6 de diciembre de 2018 se publica la nueva ley española de protección de datos (la “nueva” LOPD) y no ha tenido una repercusión equivalente y no sólo porque se publicara en una fecha con la que no podía competir, como era el 40 aniversario de la Constitución Española. De lo único que se ha hablado, y con razón y no lo suficiente, es de las previsiones que todos nuestros partidos políticos, por unanimidad, se han otorgado para no ser sancionados económicamente en caso de incumplimiento y para tratar de eludir garantías esenciales para cualquier democracia en el uso de datos sobre ideologías políticas.
Dejando por un momento al margen esta gravísima cuestión, nuestros parlamentarios -a lo largo de dos legislaturas con gobiernos de signo opuesto- han llevado a cabo un ejercicio serio y comprometido, con aciertos y desaciertos, recibiendo comentarios y propuestas de enmiendas de todos los sectores de actividad como era lógico, incluido el sector de los profesionales de la protección de datos y privacidad en España que representa APEP.
La nueva LOPD era indispensable en pocos aspectos. Debía completar al RGPD para determinar cuándo es necesario el control parental para tratar datos de menores en servicios de la sociedad de la información así como para la prescripción de infracciones y sanciones o los procedimientos de las autoridades de control. Estas cuestiones han quedado bien resueltas. Asimismo, debía regular ex novo vacíos legislativos y proporcionar criterios para poder aplicar las causas que justifican los tratamientos de datos: ésta era una tarea importante y difícil y el resultado insuficiente.
Aunque el RGPD no lo exigía, habilitaba a los Estados Miembros a regular cuestiones no armonizadas en la UE (p. ej., tratamiento de datos en el entorno laboral) o sobre las cuales los Estados Miembros se reservaron cierta libertad (p. ej., tratamiento de datos biométricos y de salud o las sanciones económicas del sector público). Dejando a salvo la falta de sanciones económicas al sector público (que se justifica en Dinamarca porque es contrario a su ordenamiento, a diferencia de España), el resultado era prometedor al leer la exposición de motivos. El articulado no lo es probablemente por el difícil propósito de conseguir unanimidad con enmiendas de tanto calado y diversidad. Por ello, será necesaria una importante labor interpretativa de conformidad con el RGPD (que puede verse plasmada o no en Códigos de Conducta).
El RGPD también habilitaba a los Estados Miembros a limitar sus garantías en casos específicos de interés público y con salvaguardas. La exención de sanciones económicas y pretendida limitación de garantías en el uso de las opiniones políticas de los ciudadanos por los partidos políticos deberán ajustarse al RGPD con urgencia. Lo deberá arreglar la Comisión a menos que los propios partidos políticos no tomen iniciativas responsables al efecto (p. ej., a través un código de conducta aprobado por la AEPD, como se ha hecho en el Reino Unido).
La nueva LOPD también incluye previsiones específicas sobre algunos derechos digitales que no traen causa del RGPD. Por la forma y el momento en que se incluyeron en su articulado, no han gozado del mismo nivel debate, lo que era indispensable para su eficacia real.
Por otra parte, el RGPD no autorizaba a regular localmente cuestiones no abiertas en el RGPD como el derecho al olvido o la compatibilidad ex lege y sin restricciones para fines de investigación científica. Tampoco permitía conservar conceptos incompatible de la legislación anterior (ej., bloqueo o conservación de datos por el responsable por cuenta del encargado) ni incumplir sentencias del Tribunal Supremo (en materia de ficheros de morosos) y Tribunal Constitucional (respecto de ciertas competencias de las autoridades de control autonómicas).
Finalmente, es un orgullo colectivo para APEP, como la asociación española más representativa de DPOs y otros profesionales de la privacidad en España y miembro fundador de CEDPO (Confederation of European Data Protection Organisations), que la nueva norma cuente con aportaciones propias, destacando entre otras, el papel de mediador del DPO, el impacto positivo del nombramiento del DPO en materia de sanciones, la presencia de la voz de los profesionales de la privacidad en el Consejo Consultivo de la AEPD, la modificación de la ley de competencia desleal respecto de la llamada “LOPD coste cero” y otras prácticas desleales.
Por todo ello, es evidente que para aplicar el RGPD con una nueva LOPD de estas características, las organizaciones públicas y privadas necesitan contar con la guía experta de directivos de protección de datos (DPOs) y otros profesionales de la privacidad formados no sólo teóricamente sino en la práctica (y desde luego … ¡nunca en un cursillo de 3 meses!).
Pero esta formación en protección de datos no debe ser sólo patrimonio de algun@s elegid@s en las organizaciones, sino permear en toda nuestra sociedad. Hay que reconocer al respecto el mérito de nuestros parlamentarios de que la nueva LOPD haya incorporado previsiones para que los jóvenes deban formarse en protección de datos.
Pero para educar a los jóvenes, los “menos jóvenes” (padres, otros educadores reglados, personas con responsabilidades públicas, directiv@s de organizaciones públicas y privadas, etc.) debemos saber qué enseñar … Y, para ello, no podemos dejar para luego el entender y aplicar por qué es tan importante la protección de nuestros datos personales para preservar nuestra dignidad y valores democráticos, de forma equilibrada (como en el caso de los otros derechos y libertades fundamentales, no es un derecho absoluto sino que está repleto de matices). Nacer y crecer en democracia es un lujo reciente, del que no podemos dejar de ser conscientes y defender todos los días; la protección equilibrada de los datos personales es esencial para ello.
Cecilia Álvarez Rigaudias es presidenta de la Asociación Profesional Española de Privacidad (APEP).
Pincha aquí para conocer todas las novedades de la nueva LOPD.