"El Abogado está llamado a ser una pieza clave en el ámbito de la protección de datos". "La Abogacía es de los colectivos profesionales que manejan más volumen de información, pero no suele ser el destinatario habitual de las sanciones que se imponen y las resoluciones de la Agencia en que están implicados bufetes de Abogados se centran en aspectos muy concretos". "La imagen es un dato personal más, tan importante o más si cabe que su nombre o el Documento Nacional de Identidad".
La protección de datos ha pasado, en poco tiempo, de ser algo que no se comprendía del todo a volverse algo crucial: convivir con herramientas para compartir fotos, gigantes bancos de datos no del todo inexpugnables, redes sociales, redes profesionales, compras on line, trámites por vía telemática, o cámaras de seguridad ha hecho pararnos a pensar cuántos datos trasladamos al dominio público. La Agencia Española de Protección de Datos es un espejo donde quieren mirarse organismos garantes de la privacidad de todo el mundo, y nuestra normativa es puntera. Del momento actual en la protección de datos, qué conciencia hay en la ciudadanía y el papel del Abogado en esta materia hemos hablado con el Director de la Agencia, Artemi Rallo.
En la sociedad de la información, ¿la protección de la privacidad es una quimera?
En el contexto de la sociedad de la información y el conocimiento en que nos hayamos inmersos, tanto las organizaciones públicas como privadas manejan cantidades ingentes de datos personales, necesarios tanto para la buena marcha y funcionamiento de la Administración y el sistema económico en general. Asimismo, la evolución de Internet, y especialmente la llamada web 2.0, han contribuido a la aparición de nuevas vías para facilitar los flujos e intercambios de información y datos personales.
Sin duda alguna, Internet se ha convertido en una herramienta imprescindible en todos los ámbitos de la sociedad actual, pero se hace necesario reflexionar ante su importante impacto en el ámbito de la protección de datos, teniendo en cuenta que su vertiginoso ritmo de desarrollo está poniendo en jaque los criterios tradicionales de garantía de la privacidad.
Internet es un territorio con Ley y está sujeto a normas. No obstante, en la actualidad el gran reto de la protección de la privacidad ante las tecnologías en proceso vertiginoso de cambio y de revolución es el de incorporar los parámetros básicos de protección de la privacidad y de los datos personales en el proceso de diseño de las nuevas tecnologías. Se trata de aplicar y extender lo que solemos denominar como "Privacy by design", es decir, que al crear servicios y ofrecerlos a los usuarios de Internet, se deben haber realizado un escrupuloso análisis de las implicaciones que tiene para la privacidad de los ciudadanos y adoptar las medidas necesarias para garantizar la seguridad de los datos personales.
Asimismo, considero que se hace cada vez más necesario que los usuarios de la Red, empezando por los más pequeños, que son los objetivos más vulnerables, conozcan cuáles son sus derechos y deberes respecto a protección de datos y los posibles riesgos a los que se enfrentan, y que sean responsables cuando difunden datos de terceros como, por ejemplo, la imagen.
Con crisis y destrucción de empleo, ¿cree que la gente renuncia más a su privacidad con tal de acceder a más personas que puedan, hipotéticamente, dar una oportunidad de trabajo?
No le corresponde a la Agencia efectuar este tipo de valoraciones, pero, en cualquier caso, cabe aludir al incremento y proliferación en los últimos años de diversas plataformas y herramientas online para la búsqueda de empleo. Quizá el ejemplo más conocido, y que mayor incidencia puede tener en este ámbito si se banalizan los riesgos existentes en ámbito de la sociedad de la información, es el de las redes sociales de corte profesional, en las que los trabajadores que quieren cambiar de puesto o los demandantes de empleo pueden publicar en su perfil completa información sobre su formación, trayectoria profesional o datos de contacto.
¿En qué medida piensa que el público ha asimilado que la imagen es un dato tanto como un nombre completo, un DNI o el domicilio?
En los últimos años hemos podido constatar la existencia de una mayor concienciación social respecto a la protección de datos de carácter personal y más nivel de cumplimiento por parte de las empresas e instituciones. Así lo ponen de relieve no sólo el notable incremento del ejercicio de las funciones que tiene encomendadas la AEPD, tal como se pone de manifiesto en los indicadores de actividad de la institución recogidos en la recientemente presentada Memoria 2009, sino, también, estudios demoscópicos que, como el barómetro del (CIS), muestran que en los ciudadanos existe una creciente preocupación por la protección de datos.
Además, los datos que recoge la Memoria de la Agencia correspondiente a 2009 reflejan que los ciudadanos son cada vez más conocedores de los derechos que les asisten y de que la imagen es un dato personal más, tan importante, o más si cabe, que su nombre o el documento nacional de identidad. En este sentido, hemos constatado como en el último año se ha incrementado el número de reclamaciones y denuncias relacionadas con la publicación y difusión de fotos o vídeos en redes sociales o portales de vídeo.
Debo añadir que la Agencia no sólo ha tramitado varias de las denuncias recibidas en el último año por la publicación -principalmente de fotos- en el marco de las redes sociales, sino que ha sancionado a los responsables en plataformas de vídeo como YouTube, de la publicación de imágenes sin el consentimiento de sus titulares, instando a dichas plataformas a la eliminación de los videos.
La AEPD forma parte de la Red Iberoamericana de Protección de Datos. ¿Qué diferencias básicas observa usted entre la defensa de la privacidad a uno y otro lado del océano?
Efectivamente, la AEPD, ejerce las funciones de la Secretaría de la Red, asumiendo las tareas de coordinación como órgano técnico y de seguimiento de las actividades de la misma.
Respecto a su pregunta, en la actualidad sí podemos hablar de la existencia de diferencias significativas en los niveles de protección de datos entre Iberoamérica y Europa. Así, mientras el modelo europeo es el que regula de forma más detallada y garantista el derecho fundamental a la protección de datos personales- con la exigencia adicional de que en todos los Estados miembros exista una autoridad independiente, como la AEPD, que tutele efectivamente aquel derecho-, por el momento son pocos los países Iberoamericanos que cuentan con normativas en esta materia.
De hecho, actualmente, sólo Argentina, Uruguay y México Distrito Federal -además de ciertos estados- tienen normativa concreta de protección de datos y ejercen funciones como autoridad de protección de datos, y tan sólo Argentina ha sido reconocida por la Comisión Europea como país que ofrece un nivel de protección de datos adecuado con arreglo a lo dispuesto en la Directiva 95/46, de Protección de Datos.
No obstante, debo añadir que muchos países están trabajando en el desarrollo de anteproyectos y proyectos de ley para regular la protección del derecho fundamental a la protección de datos. En este sentido cabe afirmar que los años de andadura de la Red Iberoamericana de Protección de Datos confirman que los países iberoamericanos caminan con paso firme en la implantación de garantías efectivas del derecho a la protección de datos, gracias, en gran medida, al constante flujo de comunicación entre los miembros de la Red.
La AEPD forma parte del Grupo del artículo 29, en el seno de la UE. ¿Qué factores marcan la diferencia en cómo proteger la privacidad por ejemplo entre un francés y un español?
Así es, la AEPD forma parte del Grupo de Trabajo del Artículo 29 desde su constitución en 1996, y actualmente ostenta la vicepresidencia del Grupo. Se trata de un órgano consultivo independiente que está integrado por representantes de las Autoridades de Protección de Datos de todos los Estados Miembros y de la Comisión Europea.
Respecto a las diferencias a las que alude en su pregunta, cabe señalar que dentro de la Unión Europea ha de existir una regulación armonizada en todos los países que posibilite el flujo de datos personales entre ellos con un nivel de protección equivalente. No obstante, dicho esto, creo poder afirmar que, en este marco armonizado europeo, España es uno de los países que más seriamente se toma la protección de datos ya que tiene una de las legislaciones más avanzadas y garantistas de los países europeos.
En nuestro país el legislador ha incorporado a nuestro sistema legal el conjunto de principios y derechos previstos en la normativa europea para proteger los datos personales acentuando las garantías establecidas en dicha normativa. Adicionalmente ha atribuido a la AEPD un amplio abanico de competencias informativas, preventivas y sancionadoras que permiten aplicar eficazmente la normativa de protección de datos.
¿Cree que la Abogacía está suficientemente sensibilizada acerca de la importancia de la protección de datos?
La Abogacía es de los colectivos profesionales que manejan más volumen de información, pero no suele ser el destinatario habitual de las sanciones que se imponen y las resoluciones de la Agencia en que están implicados bufetes de Abogados se centran en aspectos muy concretos.
Asimismo, existen datos objetivos que permiten hablar de buena sensibilización en materia de protección de datos por parte del colectivo de la Abogacía, y es el incremento en el número de ficheros inscritos en el Registro General de Protección de Datos de la Agencia.
Del análisis de la memoria elaborada por la AEPD en 2008, se desprende que el capítulo de "actividades jurídicas, notarios y registradores" ocupaba el octavo puesto en el ranking de distribución de ficheros según el sector de actividad, con casi 36.500 ficheros registrados. En la memoria de 2009 se refleja que este mismo capítulo había ascendido a la séptima posición con más de 47.000 ficheros.
El crecimiento sigue siendo exponencial si tenemos en cuenta que en lo que va de 2010, la cifra total supera holgadamente los 53.000 ficheros.
Aunque en menor medida, el capítulo correspondiente a "contabilidad, auditoría y asesoría fiscal" también posee ficheros relacionados con la Abogacía y, en este sentido, la evolución también es visible: si en 2008 este sector tenía registrados cerca de 79.000 ficheros, en 2009 alcanzaron casi los 97.000 y actualmente, superan los 107.500.
Otro factor importante es la afluencia y aceptación de que gozan cursos y acciones formativas en los colegios de Abogados dirigidas a este colectivo celebrados periódicamente y donde participa activamente la Agencia Española de Protección de Datos.
Estos encuentros son demandados por los profesionales de la Abogacía y no sólo van orientados a labores de asesoramiento de clientes, sino con carácter general, de formación para los profesionales de la Abogacía. No hay que olvidar otro indicador importante y es el incremento en el número de consultas efectuadas por los despachos a la Agencia.
¿Qué carencias principales detecta?
Pese a lo indicado anteriormente, más que carencias detectadas, considero que debe pedirse a este colectivo un esfuerzo aún mayor, tanto en su vertiente de responsables de los ficheros de sus clientes como en la de asesores jurídicos de la legislación de protección de datos a terceros.
Desde este punto de vista, el Abogado está llamado a ser una pieza clave en el ámbito de la protección de datos y es por ello que debe implicarse más, y le es exigible un mayor compromiso en esta materia.
A este respecto, es fundamental que tanto los colegios de Abogados como el Consejo General de la Abogacía Española redoblen esfuerzos en la concienciación de sus colegiados de la importancia que supone estar al día en su despacho en lo referido a la política de protección de datos personales.
¿Cómo han afrontado las Agencias de Protección de Datos de los diferentes países de nuestro entorno el fenómeno de las redes sociales?
El principal problema que plantean estos servicios es que no se crearon en origen cumpliendo los estándares básicos exigibles para la protección de la privacidad de los usuarios, y de ahí que la AEPD y otras muchas autoridades del mundo entero hayan procedido a analizar estas herramientas de Internet.
En nuestro caso, venimos manteniendo una política de comunicación continua, de encuentros periódicos con los representantes de las principales redes sociales que operan en nuestro país, en cuyo contexto, les hemos trasladado tanto nuestras inquietudes como requerimientos de mejora de sus servicios.
De estas esas conversaciones podemos decir que se han obtenido importantes resultados. Ambas compañías han llevado a cabo una clarificación de la información que ofrecen a sus usuarios en sus condiciones de uso y privacidad.
Tuenti ha implantado un procedimiento de depuración de las cuentas de los menores de 14 años, y Facebook, por su parte, muy recientemente en respuesta a una petición expresa de la Agencia ha incrementado a 14 años la edad mínima para poder ser miembro de esta red social en España, lo que constata sin duda que las empresas multinacionales de Internet pueden adaptar sus servicios las exigencias legales nacionales en garantía de la privacidad.
Dicho esto, pese a los importantes avances conseguidos, tanto la AEPD, como el resto de autoridades de protección de datos, seguimos atentos y vigilantes al creciente fenómeno de las redes sociales e instándoles mejorar sus políticas de privacidad y a la progresiva reducción de los riesgos para privacidad y los derechos de los usuarios.
¿Qué espacios de mejora cree que hay en la legislación española?
El sistema legal e institucional de protección de datos en España es un modelo de referencia no sólo para el resto de colegas de los países europeos, que en gran medida cuando revisan sus normativas lo hacen para orientarlas hacia las características propias de la legislación española, sino también para la mayor parte del resto de países de la comunidad internacional.
Asimismo, y como ya he indicado anteriormente, el sistema español es reconocido por ser serio, riguroso y estricto en la garantía efectiva del derecho a la protección de datos en la medida en que el legislador español ha querido otorgarle a la Agencia Española de Protección de Datos la facultad de poderes y medios necesarios para cumplir con ese objetivo.
Por ello, en relación a posibles espacios de mejora a los que usted alude, considero que en la sociedad actual, éstos deberían ir enfocados más hacia la creación y consecución de un marco global de privacidad que permita hacer frente a los retos a los que hoy nos enfrentamos, derivados de la globalización económica, tecnológica y de la seguridad, y que nos obligan a promover iniciativas de carácter mundial que superen las fronteras de los Estados e, incluso, de los continentes.
En esta línea, debo recordar el gran avance logrado mediante la aprobación de propuesta de Estándares Internacionales de Privacidad- en el marco de la 31 Conferencia Internacional de Privacidad celebrada el pasado año en Madrid– , ya que podemos afirmar que suponen el primer paso para alcanzar ese necesario marco mundial de protección de la privacidad.