La publicación del Reglamento General de Protección de Datos (RGPD) en mayo de 2016 completa el proceso de adopción del texto a nivel europeo, dicho proceso comenzó en enero de 2012. En este sentido, hay que destacar el –relativo– corto período que tomó la reforma (de 6 años) entre la publicación del proyecto y su aplicación efectiva en Europa (esperada en mayo de 2018). Cabe recordar, a modo de comparación, que la transposición de la Directiva europea del 24 de octubre de 1995 fue transpuesta, por ejemplo, en Francia tan sólo en 2004, es decir, casi 12 años después de su entrada en vigor y así permitir que el texto produzca plenos efectos jurídicos en dicho país. Esto demuestra que las preocupaciones en materia de protección de datos han ganado un lugar importante, no solamente en el plano económico y social, sino también en el plano político, y que las cuestiones alrededor de este tema son imprescindibles.

En este contexto, hay motivos para alegrarse de la adopción del texto europeo, y esto, por dos razones:

En primer lugar, la adopción del RGPD supone la eliminación de los trámites administrativos a cumplir ante la autoridad de control nacional. En Francia, la ley relativa a “la Informática y las Libertades”, que es la ley aplicable en materia de protección de datos personales, así como las actividades de la Comisión Nacional de la Informática y las Libertades, que es la Autoridad de control francesa (Commission Nationale de l’Informatique et des Libertés – CNIL, por sus siglas en francés), fueron fuertemente influenciadas por las reglas jurídicas que prevén el sistema de trámites declarativos preliminares. Tanto es así que, incluso hoy en día, muchos profesionales consideran que el cumplimiento reglamentario de un archivo se reduce a la declaración de un trámite ad hoc ante la CNIL, a expensas de los procedimientos operativos de control del tratamiento declarado. El cumplimiento jurídico-administrativo de un tratamiento con respecto a la Ley implica no solamente el trámite en sí, sino también el establecimiento de medidas jurídicas, técnicas y organizativas a lo largo de todo el tratamiento, además de su conformidad con el marco reglamentario (en materia de seguridad, de conservación de datos, de notas de información, etc.). Los profesionales ya no podrán justificarse detrás de los trámites declarativos preliminares, todo lo contrario, deberán preocuparse de las reglas que tendrán que implementar internamente para garantizar la conformidad de sus tratamientos. Es importante precisar que la Comisión Europea ha demostrado que los trámites preliminares, además de ser muy poco eficaces, representan varios miles de millones de euros a cargo de las empresas y las administraciones.

En Francia, el sistema declarativo preliminar se integró en 2004, el cual obligó a las empresas a obtener la aprobación previa de la CNIL antes de aplicar ciertos tratamientos como, por ejemplo, aquellos relativos a la lucha contra el fraude y el control biométrico. En la práctica, la Autoridad de control francesa toma mucho tiempo -a veces varios meses o varios años- para tratar muchos de sus trámites. Esto llevó a penalizar a aquellos responsables de tratamiento que están obligados a respetar el marco jurídico antes de aplicar un tratamiento, obligándolos a menudo a hacer una pausa a un tratamiento estratégico y, consecuentemente, a su desarrollo económico, mientras que otros responsables de tratamiento –a veces de grandes empresas– han optado por no declarar previamente o por no solicitar autorizaciones, manteniéndose así en la ilegalidad.

La contrapartida del abandono de los trámites preliminares por parte del responsable del tratamiento, es de cumplir con la norma jurídica vía la documentación de sus tratamientos (artículos 5 y 24 del RGPD). Esto mejorará el enfoque en la regulación compartida a través de la cual se invita a la empresa a responsabilizarse de manera proactiva y a definir, por sí mismo, y muchas veces por medio del control realizado por parte del delegado de protección de datos (artículos 37 y siguientes del RGPD), las medidas de conformidad reglamentaria que considere más adecuadas de acuerdo a su situación y en base a los tratamientos de los cuales se considera responsable ante las autoridades de control y ante los titulares de derechos. Son tales los riesgos de sanción ante el incumplimiento de la autorregulación (riesgo a nivel penal, administrativo y sobre todo, de imagen), que las empresas han comprendido el interés de comprometerse a la realización de programas internos de conformidad reglamentaria. Sin duda, esta medida será más eficaz en términos de protección de datos en comparación con el cumplimiento de los trámites administrativos preliminares.

Por otro lado, la armonización de las normas de protección de datos a nivel de la Unión Europea es una oportunidad para el desarrollo económico de los negocios a nivel europeo. La transposición de la Directiva del 24 de octubre de 1995 en los diferentes países de la Unión Europea estuvo marcado por notables diferencias jurídicas que han complicado considerablemente el trabajo de las empresas que operan a nivel paneuropeo y que se vieron fragilizadas frente a los operadores económicos establecidos fuera de la Unión Europea y que, por ejemplo, están establecidos en Estados Unidos de América o en Asia. El RGPD propone una armonización de las normas aplicables y el establecimiento de un sistema de “ventanilla única” para las autoridades de control, lo que asegurará una aplicación uniforme de los programas de conformidad reglamentaria a nivel paneuropeo y, por lo tanto, una racionalización de costes. Por otra parte, el contexto de la internacionalización de flujos hace que, más allá de los aspectos estrictamente legales, sea políticamente necesario que Europa hable con una sola voz al mundo y a aquellos que no están de acuerdo en seguir un marco jurídico tan protector como el que se garantiza en Europa. Esto es tan cierto que, en lo que respecta al Internet, los grandes operadores no se establecen en la Unión Europea. La adopción del RGPD permitirá a la Unión Europea disponer de una herramienta armonizada y de mayor peso en las negociaciones internacionales, por ejemplo, sobre un posible tratado que involucraría a los Estados Unidos o a los países de la zona de Asia-Pacífico.

Dicho esto, se debería moderar un poco el entusiasmo general que ha producido el RGPD, ya que, además de ser de una lectura muy difícil (casi 100 páginas de texto), el texto europeo no altera fundamentalmente las reglas cardinales del derecho en materia de protección de datos. Los derechos de los titulares ​​han sido modificados al margen. Así, el consentimiento preliminar de un titular –un tema del cual se ha hablado mucho- seguirá siendo una excepción que ya está prevista, por ejemplo, en la Ley francesa (artículo 7 de la Ley de la Informática y las Libertades y el artículo 6 del RGPD). Del mismo modo, el nuevo derecho a la portabilidad de los datos, que será una piedra en el zapato de muchos responsables de tratamiento, no es más que una ampliación de los medios que permitirán ejercer el derecho de acceso. Más allá del análisis de conformidad reglamentaria de un tratamiento sobre la base de los principios clave de la protección de datos (la finalidad, la proporcionalidad, la seguridad, el plazo de conservación, etc.), el RGPD introduce algunas nuevas nociones como, por ejemplo, el principio de minimización de datos (artículo 5 del RGPD). No cabe duda que, en la práctica, este principio será integrado en el ya conocido principio de proporcionalidad, tanto que parecería ser inútil prohibir a las empresas que trabajan en Big Data usar los datos recogidos para nuevos propósitos, aunque generalmente respeten el marco jurídico aplicable a la protección de datos personales. Esta nueva noción, así como algunas otras, no va a soportar ni las restricciones económicas ni los problemas asociados en términos de empleo a las que se enfrentan nuestras empresas. En un contexto de fuerte competencia internacional, el enfoque maximalista, a veces adoptado en el RGPD, parece contraproducente.

Además de todo lo dicho, aún restan una serie de incertidumbres.

 ¿Qué estrategia hay para las autoridades de control europeas?

En primer lugar, la pregunta que hay que plantearse es ¿qué estrategia aplicarán las autoridades de control a partir de mayo de 2018? En Francia, el fin de los trámites preliminares es un importante reto con respecto a la gestión del cambio en el seno de la CNIL ya que, por ejemplo, la Autoridad de control francesa cuenta con un equipo compuesto principalmente de agentes que se encargan únicamente de instruir los trámites preliminares. En el contexto de la Accountability, el control preliminar que será ejercido por parte de la CNIL se centrará vía la publicación de referenciales y recomendaciones que buscarán guiar a los responsables de tratamiento en sus actividades de conformidad reglamentaria (evaluación de impacto, análisis de viabilidad jurídica, auditoría, etc.). No obstante, cabe mencionar que en el transcurso de los últimos años, la CNIL nunca ha producido tan pocas normas o recomendaciones. Si bien es cierto que algunos paquetes de conformidad reglamentaria se han publicado y que la CNIL se ha comprometido a elaborar una estrategia de comunicación para la educación digital y temas relacionados con el Internet, hay que precisar que, por ejemplo, la última recomendación -sobre el tema de la publicidad en línea- se publicó en el Diario Oficial francés en diciembre de 2013. Hay tantos temas sobre los cuales los profesionales llevan varios años esperando obtener nuevas recomendaciones como, por ejemplo, en materia de contratación laboral, de lucha contra el fraude y segmentación comportamental o conductual y, a pesar de eso, no se han publicado referenciales sobre estos temas. Este punto es esencial ya que la falta de recomendaciones específicas y técnicas por parte de la autoridad de control podría conducir, en primer lugar, a una situación de inseguridad jurídica para los responsables del tratamiento, y por otro lado, a un debilitamiento del nivel de protección de datos personales, ya sea porque el profesional eludirá esta dificultad vía la explotación de referenciales de terceros, los cuales son, en algunos casos, escasos de independencia. Sobre este punto hay que mencionar que el plan estratégico trienal de la CNIL publicado para el periodo 2016/2018 indica que la máxima autoridad tiene la intención de convertirse en un motor de inter-regulación digital. Por otro lado, la Autoridad francesa ha manifestado que se propone, a corto plazo, a adaptar sus procedimientos internos y reflexionar sobre el rol de su pleno y de su tribunal interno.

 ¿Cuál será la estrategia de las autoridades de control en materia de sanciones pecuniarias, considerando que será posible dictar multas de hasta 20 millones o que pueden llegar hasta el 4% del volumen de negocios mundial de una compañía? Sobre este tema, si bien es cierto que la CNIL ha multiplicado sus controles en los últimos años, las estadísticas sobre las sanciones pecuniarias dictadas son particularmente decepcionantes. De esta manera, y según el último informe anual de la CNIL publicado en abril de 2016, durante el año 2015, la CNIL pronunció únicamente tres sanciones pecuniarias. De memoria, en 2006, es decir, el año en el que la CNIL fue revestida de su potestad sancionadora, la autoridad pronunció 11 sanciones pecuniarias. El equilibrio del RGPD en Europa (y el de la credibilidad de la autoridad de control) reposan desde ahora en el poder de sanción a posteriori, dejando en manos de las autoridades de control la responsabilidad de usar bien ese poder de sanción para así evitar que la protección de datos personales disminuya. Entre otros temas relacionados con el nuevo rol de las autoridades de control, ciertas preguntas surgen sobre su capacidad de implementar rápidamente las disposiciones de cooperación entre las autoridades de control locales basadas en el Mecanismo de coherencia (artículo 63 del RGPD). Hay que notar que el mecanismo de cooperación entre las autoridades de control sobre la gestión de los trámites comunes no ha sido bien explicado hasta el momento.

Internet: algunas oportunidades desaprovechadas

Más allá de la posición de la autoridad de control, es evidente que la adopción del RGPD no ha permitido solucionar ciertos problemas importantes sobre la protección de datos personales que se han planteado debido al importante desarrollo del Internet. Sin embargo, hay que señalar que una de las razones que motivó la reforma reglamentaria por parte de la Comisión Europea fue precisamente el Internet y el lugar que ocupa en la vida de los ciudadanos europeos. En particular, el desarrollo de la práctica de la auto-exposición en las redes sociales y en los blogs ha llevado a las instituciones europeas a reforzar su voluntad de ofrecer a las personas mayor protección contra el riesgo de abusos derivados debido a este tipo de utilización. Es por esta razón que muchas de las normas básicas sobre la protección de datos han sido revisadas desde el ángulo del Internet a pesar del hecho de que muchos de los tratamientos implementados en empresas o en el sector público no tengan absolutamente nada que ver con el Internet.

A veces, esto se traduce en una complejidad innecesaria de ciertas normas que, además, no fortalecen los derechos de los interesados. Por ejemplo, el RGPD establece que el responsable del tratamiento deberá informar a los titulares de derechos sobre los plazos de conservación de los tratamientos (artículo 14 del RGPD). Para los profesionales típicos como, un empleador, un administrador social o un banquero, informar a los titulares de derecho sobre los plazos de conservación aplicados a sus tratamientos será una verdadera dificultad debido a la cantidad de datos recolectados, las diferentes categorías de datos y las diferentes reglas de conservación a las que pueden ser sometidos -lo que hará que su aplicación sea particularmente compleja- hablando jurídicamente. En consecuencia, esta medida probablemente producirá el efecto contrario al deseado ya que las menciones de información serán tan complejas, o tal vez, tan simplificadas, que se correrá el riego de producir menciones de información incomprensibles o inútiles para los interesados.

 Además, el texto no aborda el tema fundamental sobre la identidad digital. Hasta la fecha, el ejercicio de los derechos que los ciudadanos tienen, por ejemplo, el derecho de acceso, se ejerce por medio de la justificación de su identidad administrativa (nombre, apellido, fecha de nacimiento, etc.). Con respecto al Internet, la mayoría de los usuarios se limitan muchas veces a crear un nombre de usuario y una contraseña. Estos son los elementos que permiten la identificación de un titular de derechos, sumados a otros elementos técnicos como por ejemplo, la dirección IP fija. Sobre este tema, el RGPD no aporta ninguna respuesta. Algunos comerciantes han comenzado a invitar a sus usuarios a identificarse para así romper el anonimato, tomando la iniciativa de proponer formularios de inscripción en los cuales se les pide que comuniquen su identidad administrativa. La lógica que se ha desarrollado es sorprendente; para poder permitir el ejercicio de los derechos y así proteger la privacidad, las personas deberán empezar a alimentar ficheros nominativos.

Otra oportunidad desaprovechada existe con respecto a los motores de búsqueda. Las autoridades de control europeas han comunicado mucho sobre el fortalecimiento del derecho al olvido. En términos estrictamente jurídicos, las autoridades de control europeas consideraban, hasta hace poco tiempo, que los motores de búsqueda no eran responsables de los contenidos a los que hacen referencia. Por lo tanto, no se les obligaba a responder de manera favorable a las solicitudes de eliminación que los interesados interponían. Este análisis jurídico fue muy cuestionado. De hecho, existe una serie de argumentos -especialmente, la existencia de un índice propio para cada motor de búsqueda- que permite obligar a los motores de búsqueda a responder a las solicitudes relativas al ejercicio del derecho de oposición exigido por parte de los interesados. Frente a la inercia de las autoridades de control, el Tribunal de Justicia de la Unión Europea, en su sentencia del 13 de mayo de 2014, reforzó los derechos de los usuarios de Internet gracias al derecho al olvido.

Es de lamentar que este nuevo derecho, tal como se lo concibió en la sentencia del 13 de mayo de 2014, no se haya incluido en el RGPD, considerando la creciente importancia económica y política de los operadores de Internet y que no se hayan creado reglas específicas a su actividad. Hay que mencionar que existen normas, como por ejemplo, la Directiva 2002/58/CE sobre los operadores de telecomunicaciones, quiénes a veces tienen la obligación de recolectar el consentimiento expreso de los interesados antes de explotar sus datos (por ejemplo, cuando se usan los datos para la geolocalización). Es lamentable que, por razones de estricto lobby, no se haya podido adoptar un marco jurídico similar para los operadores de Internet, quiénes, además, han establecido sus sedes y sus servidores fuera del territorio de la Unión Europea.