La Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales entró en vigor el pasado 7 de diciembre. Esta normativa, que reitera el Reglamento Europeo de Protección de Datos, a juicio de Marta Alemany, especialista en Derecho Mercantil, Protección de Datos y Nuevas Tecnologías en Alemany & Asociados, “crea mayor confusión, en ocasiones, e implica la consulta constante de dos textos diferentes”. Actualidad Jurídica Aranzadi ha querido abordar con ella esta temática, que desgrana en esta entrevista como voz autorizada que es en la materia.
Como experta en Protección de Datos, ¿qué valoración realiza de las principales novedades de la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales que entró en vigor el pasado 7 de diciembre?
La Ley no realiza aportaciones. Reitera el Reglamento Europeo de Protección de Datos (RGPD) cambiando algunas cuestiones, con lo que crea mayor confusión, en ocasiones, e implica la consulta constante de dos textos diferentes. Introduce modalidades especiales como la regulación de las denuncias internas, videovigilancia, ficheros de exclusión publicitaria y sistemas de información crediticia. En algunos casos se extralimita, como, por ejemplo, cuando se refiere a los perfiles de riesgo crediticio, los conocidos como scorings. En este caso, además, es regulación problemática y superflua, en primer lugar, porque bastaba con lo ya establecido en el RGPD y en las directrices elaboradas por el antiguamente denominado Grupo de Trabajo del Artículo 29, actual Comité; y, en segundo lugar, porque esta materia, previsiblemente provocará litigación ante el Tribunal Superior de Justicia de la Unión Europea ya que lo normal será que Europa vaya homogeneizando, que es uno de los objetivos principales del Reglamento
Por otra parte, sigue sin clarificarse una cuestión importante como es el alcance de las fuentes públicas como proveedoras de datos personales. En algunas materias la Ley va más allá que el propio Reglamento, como en la especificidad de los supuestos en los que se requiere nombra un Delegado de Protección de Datos o en los que se requiere realizar una evaluación del impacto de un tratamiento concreto. En cuanto a la regulación de los denominados derechos digitales, no creo que fuera esta Ley Orgánica el lugar idóneo para abordarla. Como prueba, está su introducción en las últimas fases del proyecto y por motivos meramente políticos, ajenos absolutamente a la cuestión de la que se trataba.
¿Es el Derecho al olvido uno de los principales caballos de batalla de la Protección de Datos?
En mi opinión no lo es. Hay informaciones erróneas que se refieren a él como nuevo derecho, cuando en realidad, conceptual y jurisprudencialmente, ya estaba reconocido a partir del derecho actual de supresión o el anterior de cancelación, con los que los límites son muy difusos. Hay cuestiones de mucha más trascendencia en la normativa actual, que no derivan solo de la Ley, sino del cambio absoluto que ha supuesto el Reglamento Europeo al introducir las exigencias del enfoque proactivo y la privacidad por defecto y desde el diseño en la protección de datos.
¿Cómo valora la figura del Delegado de Protección de Datos?
Considero que es una figura clave y un acierto su introducción, principalmente en lo que se refiere a empresas de mayor tamaño o dedicadas a actividades que impliquen el tratamiento de datos personales con asiduidad. Es muy positivo el canal directo que implica con los "interesados" (titulares de los datos), que se podrán dirigir a esta figura para solicitar todo tipo de información, y con la Agencia Española de Protección de Datos, así como la posibilidad de que este organismo tenga la facultad de posponer la admisión a trámite de las reclamaciones hasta que el delegado de la empresa haya tenido oportunidad de solucionar los hechos origen de la reclamación. Esperamos que se podrá evitar de este modo la incoación de un gran número de procedimientos sancionadores.
De momento lo relativo a las funciones y la formación requerida no tiene unos límites muy definidos, lo que conllevará sin duda cierto riesgo de intrusismo por parte de oportunistas. Pero es normal ante una figura de tan reciente creación. En cuanto a las empresas, en la práctica también se están adoptando diferentes soluciones. En unos casos se incorpora dentro del Departamento de cumplimiento normativo, en otros casos se integra en el Departamento jurídico, hay quien realiza la contratación de un externo… Es importante destacar que a AEPD ha clarificado recientemente mediante un Informe que es una figura diferente del Responsable de Seguridad y que no considera que ambos puestos los pueda ocupar la misma persona.
¿La nueva norma es suficiente para adaptarse a la privacidad de los usuarios?
Con las posibilidades tecnológicas actuales es prácticamente imposible garantizar la privacidad. En cuanto a las cláusulas de privacidad y configuraciones de políticas de privacidad, considero que a partir de lo que establece el RGPD y de las directrices e interpretaciones que han ido surgiendo, hay una clara contradicción en las exigencias de que los textos sean transparentes y breves y a la vez contengan información suficiente sobre los tratamientos.
Respecto al Derecho a la desconexión digital en el ámbito laboral, ¿qué análisis le merece el artículo 88 del proyecto, con la finalidad de garantizar el respeto del tiempo de descanso, permisos y vacaciones de los empleados?
En mi opinión es un artículo con un objetivo principalmente mediático. No deja de ser una simple declaración de intenciones, que, si bien es la tendencia en algunos países de nuestro entorno, como por ejemplo en Francia, la efectividad y alcance en la práctica parece que distan mucho de la letra de la Ley.
Hablando de otros asuntos, ¿considera que los cambios del mercado legal responden a las exigencias actuales del sector?
Los cambios que está viviendo el sector legal son los mismos que la sociedad en general, todos estamos sujetos a una transformación digital que conlleva un cambio en la manera de trabajar, siempre sujetos a todo tipo de dispositivos que nos facilitan muchas cosas y nos complican otras. Se está hablando mucho de la desaparición de la profesión, pero no creo que vaya a ser así. Desde que ejerzo las cosas han cambiado mucho y me voy adaptando como profesional y como despacho. Pero sí creo que la profesión en general va bastante atrasada, y la carrera de Derecho no incluye aún como asignatura las TICS, ni si quiera es una materia en el Máster de Acceso, y estamos hablando de las generaciones actuales. Si esto lo trasladamos al sector en general, está claro que queda mucho por hacer y que al sector legal le cuesta avanzar.
¿Cómo afronta Alemany & Asociados la transformación digital?
En ello estamos, hace tiempo iniciada, por llevanza de muchos procesos judiciales al intentar optimizar procesos, colaboración estrecha y ocupación especialista en ello, para racionalizar procesos de forma constante; y seguiremos avanzando, pero creemos que la inteligencia artificial tiene sus carencias, somos un bufete boutique que busca soluciones a medida para cada cliente.
¿Qué espera para 2019 desde la perspectiva legal?
Espero que en 2019 continúen los retos en materia de protección de datos, tras la plena vigencia de la LOPDGDD y el RGPD. Nos espera un recorrido largo y, sin duda, apasionante, durante el que iremos viendo las verdaderas implicaciones prácticas de la nueva regulación e iremos ganando en seguridad jurídica, a medida que se vayan conociendo las opiniones e interpretaciones de la AEPD y de las autoridades supervisoras del resto de países afectados, cuando se vayan sucediendo las resoluciones de procedimientos y respuestas vinculantes a las consultas que se realicen.
Si quieres disponer de toda la información y la opinión jurídica para estar al día, no pierdas
de vista a Actualidad Jurídica Aranzadi 
