viernes, 21 de septiembre de 2018


Autumn in New York.

De cómo fui a New York a hablar de RGPD y tecnología y acabé tocando la batería en un club de jazz en Harlem.

Pues sí, seguramente parecerá una historia de Blake Edwards o quizá de Torrente Ballester, pero voy a ver si consigo contar aquí exactamente lo que pasó…

Llevaba algún tiempo dándole vueltas a darme una vuelta por el otro lado del charco para ver “in situ” cómo llevan eso de la protección de los datos personales en la economía digital, sobre todo ahora que el RGPD ya es obligatorio por aquí (y por allá también en muchos casos) y con la que se nos viene encima con la posible anulación del Privacy Shield, y con ganas de contar lo que está pasando en España, en Portugal, Francia, Italia, UK.
Tras meses dándole vueltas, por fin conseguí que los astros se alinearan y pude organizar algunas reuniones con clientes y colegas de profesión en despachos de un par de ciudades de Estados Unidos, terminando en New York. El domingo llegué por la noche a Nueva York, 16 de septiembre, casi otoño, por supuesto en mi cabeza solo tenía una melodía, el standard de Vernon Duke, en la versión de Ella Fitzgerald y Louis Armstrong (hay otra joya creada por Chet Baker).


Las reuniones fueron bien, Manhattan arriba Manhattan abajo, alguna foto aquí y allá entre encuentro y encuentro. Muy interesante ver cómo los abogados en USA están preocupados y asustados por ese monstruo que saben que existe que se llama RGPD pero del cual no conocen el tamaño ni su ferocidad. En otro post hablaré de cuestiones de privacidad en USA con más extensión.

El martes era mi última noche en Nueva York, el miércoles ya tenía el vuelo de regreso a Madrid a las 7 de la tarde. Sin tiempo para nada de turismo, me propuse y me impuse hacer al menos una cosa antes de dejar la Gran Manzana: ir a un club de jazz el martes por la noche y cumplir uno de mis sueños de muchos años.
Le pedí alguna referencia a mi amiga Mercedes Melón, que vivió en NY unos años y sabía que me daría información fiable. Uno de los locales que me recomendó era el Paris Blues Jazz Club, en Harlem. Lo busqué en internet y vi que era un local algo peculiar, donde algunas bandas residentes se intercalaban con otras menos conocidas… Como curiosidad, vi también que hay una película de 2017 con el mismo nombre de ese club, "Paris Blues in Harlem", algunas de cuyas escenas fueron grabadas en el mismo local. Parecía una buena elección.

Después de cenar el martes, sabiendo que era mi única opción por esta vez, venciendo a la pereza de las horas y el jet lag me fui a Harlem. No me fue difícil encontrar el club. Ya desde fuera se escuchaba el sonido de los instrumentos en directo, algo que no deja de producirme escalofríos cada vez que lo escucho sea donde sea.


El local es pequeño. Si no fuera por el cuarteto que tocaba al fondo nunca lo habría llamado club de jazz, o local de música. Es un bar. Pequeño. Oscuro. Viejo. La música cambiaba todo eso y hacía que sintiera que entraba en un local de jazz, de música. Aunque no era jazz lo que sonaba. Tres músicos afroamericanos, dos de ellos bien entrados en años acompañados de un saxofonista con pelo a lo rasta se esmeraban, y conseguían, desgranar notas de rock&roll, funk, soul… algún clásico de Barry White, can’t get enough of your love baby. El guitarrista al frente parecía liderar, pero pronto me di cuenta de que el batería era quien mandaba allí, cantando alguna canción mientras tocaba y eligiendo el repertorio. Pero además, ese batería me sonaba...


Entretenido, pensaba, mientras me tomaba la cerveza que me había pedido, primera de las dos obligatorias según el cartel colgado en la pared “2 drinks per customer”.

El concierto se detuvo con un hasta luego, descansamos un momento y ahora volvemos. Los músicos se liberaron del compás para ponerse cada uno a lo suyo. El guitarrista se sentó en una esquina a cenar abriendo un box de un take away de esos tan típicos en NY. El saxofonista salió a la calle con unos amigos que habían ido a verle tocar. El teclista no se movió de su sitio y se quedó practicando escalas y armonías, siguiendo en algunos casos la música ambiental que llenaba transitoriamente el local. El batería, el más sociable, saludaba a los clientes y público en general, presentándose y dando la mano a unos y a otros. Me sonaba de algo ese batería...

Así llegó hasta mí, estrechándome la mano y preguntándome si me había gustado. “Soy Tyrone Govan, qué tal lo estás pasando?”. Estábamos fuera del local, a la puerta, porque aun siendo las 11:30 de la noche hacía calor en Harlem. Le dije que “sí, great gig man”, y se me ocurrió añadir, “yo también toco la batería”. Me miró y me preguntó: “¿tocas la batería? ¿quieres tocar?” Sin pensar mucho, o nada, le dije, “¿se puede?” Y me dice “claro, después te subes con nosotros y tocas una”. Y cuando ya se iba, se dio la vuelta y sonriéndome me dijo: “pero tienes que comprar uno de mis CDs, son 10$”. “Ok” le contesté yo, “perfecto, ¡muchas gracias!" añadí.
Me quedé hablando fuera con algunos compañeros, que terminaban su consumición mientras comentaban de todo un poco. No les dije nada. Según pasaba el tiempo pensé que no era posible, que me lo habría dicho por ser simpático o para vender su disco. Se acercaban las 12 de la noche y pensé que seguramente era buena hora para que volvieran a tocar, así que volví a entrar al local. El guitarrista seguía cenando. El teclista seguía repasando sus escalas. Tyrone estaba ya cerca del escenario y el saxofonista se colgaba el instrumento a la cinta.

Yo pensé, bueno ahora empezarán a tocar y ya. Tyron me miró en ese momento y me hizo una seña, “¡Ven! ¡Pasa a la batería!”. Yo me acerqué pero vi que los demás músicos seguían a lo suyo, le pregunté a Tyron “Pero ¿seguro que se puede? ¿Los demás están de acuerdo?” Tyron dijo algo así como “déjate de chorradas, la banda es mía y te digo que te pongas a la batería”. Cruzó dos palabras con el teclista, una mirada con el saxofonista y fue a hablar 3 segundos con el guitarrista. Volvió al escenario y él mismo se colgó la guitarra y dijo “¡Vamos! Moondance! One, two, three, four!”. Y allá me lancé yo con el vértigo contenido de una montaña rusa a punto de empezar, con esa sensación de miedo y ganas que te inundan cuando empiezas una sesión excitante, un concierto nuevo, una vista en un juzgado en un asunto complejo que has preparado durante días aunque lo estudiaste a fondo hace unos años cuando se celebró la audiencia previa…


En ese momento me di cuenta de que era de verdad, no estaba soñando, no era un simulacro, no era una jam session, no era un ensayo, era yo tocando con músicos de jazz en un local de jazz en Harlem, Nueva York.
Resultó que Tyron es un guitarrista excepcional! Terminé aquel tema casi sin darme cuenta, habiendo tomado control poco a poco según avanzaban los compases, tras algún pequeño traspiés nervioso al principio. Terminamos, aplausos, me levanto, me despido del teclista con un “gracias, ha sido fantástico”. Se vuelve Tyron y me dice “Pero ¿a dónde vas? ¡Venga la siguiente!. Una fácil para ti!”. Se lo agradezco por lo bajini, me vuelvo a sentar a la batería, Tyron marca 3 y… adelante otra vez! Esta la disfruté mucho más, mejor control, algún escarceo siguiendo la línea de bajo que llevaba el teclista con la mano izquierda, divertido, divertido!


Termina la segunda, miro a Tyron y continúa el show, se une otro saxofonista.“Ahora vamos con la siguiente!”, anuncia Tyron, “One, two, one two three four!”

Yo estaba en una nube, ya me permití hacer algún redoble, jugar con  semicorcheas en el charles, como cuando citas jurisprudencia de memoria en el informe final, en concreto esa sentencia que reúne el conjunto de sentencias con los argumentos jurídicos ante los que no queda más remedio que rendirse, y de repente Tyron se aparta y dice “y ahora un solo de batería!”. Aquí justo ese momento:




¿Qué? Vuelta a la realidad. Tensión. Me veo a mí mismo pensando ¿pero qué ha hecho este tío? ¿Es en serio? ¿Ha dicho que voy a hacer un solo? ¡Pero si llevo años sin tocar en público! Ok, vamos a tratar de salir del paso sin cagarla, control. Control, nada de florituras, limítate a lo que sabes seguro que te sale, lo cual por cierto es de primero de músico en directo, ni se te ocurra experimentar en directo, o probar algo que no tienes controlado, porque la cagas 100%. Tocar en directo no es un banco de pruebas, incluso improvisando solo debes hacer lo que sabes que sabes hacer. Las pruebas se hacen en casa, en el ensayo, pero no en directo. Eso lo aprendí hace muchos años y con esa lección en mi caja de herramientas salgo del paso. Igual que en una vista oral de ese juicio complicado. Discretito, controlado. Afortunadamente el público parecía disfrutarlo, principalmente los compañeros con los que había ido al club, a los que agradezco el sin duda inmerecido apoyo.


Continúa el tema, solo de saxo, pasa a solo del otro saxo, solo de teclado, intento acompañar sin estridencias, dejando que brille el solista, acompañando. Terminamos con un final conjunto que quedó bastante bien, para no haber tocado nunca juntos.

Me levanté de la batería, saludé a todos los demás de la banda, le di las gracias a Tyron, un abrazo. Tyron dice “Un aplauso para Alex, que viene de… de otro país!”.

Me reuní con mis compañeros. Prueba superada. ¿De qué me sonaba Tyron? Ya de vuelta en España, volviendo a ver la escena de Paris Blues in Harlem que he colgado más arriba, Tyron era el guitarrista y lider de la banda que sale en la película. Aquí dejo una actuación bien grabada del gran Tyron Govan con su banda Top Secret en el Paris Blues de Harlem.

Autumn in New York. He encontrado esta curiosa versión de Salvador Sobral que no está nada mal, Filomeno.



P.S. Gracias Simón por las fotos y los videos!

miércoles, 13 de junio de 2018

El “Privacy Shield” ¿tiene los días contados?

Bajo la lupa de la Unión Europea


El Comité de Libertades Civiles del Parlamento Europeo ha formulado una propuesta de resolución para su aprobación en pleno, en la que pide a la Comisión Europea la suspensión del acuerdo “Privacy Shield” entre la Unión Europea y los EEUU, el acuerdo en vigor desde julio de 2016 en virtud del cual se facilita la transferencia internacional de datos entre ambas zonas (ver nota de prensa).

El Privacy Shield sustituyó al anterior acuerdo existente entre la Unión Europea y los EEUU, denominado “Safe Harbor”, que fue anulado por sentencia del Tribunal de Justicia de la Unión Europea a raíz de una denuncia del ciudadano austríaco Maximillian Schrems ante la agencia de protección de datos de Irlanda.

En el borrador de resolución del Comité de Libertades Civiles, el Parlamento Europeo da de plazo hasta el 1 de septiembre de 2018, recomendando que se suspenda el Privacy Shield en esa fecha si no se acredita que los EEUU cumplen plenamente el Acuerdo internacional, e igualmente recomienda que se mantenga la suspensión en tanto no se acredite ese pleno cumplimiento.

De llevarse a cabo esta resolución, si se verifica la falta de adaptación de EEUU al Privacy Shield, el 1 de septiembre dejarían de ser válidas las transferencias de datos entre la Unión Europea y EEUU basadas en el marco de ese Acuerdo, por lo que numerosas empresas tendrían que cesar en su actividad, si ésta implicara la realización de tales transferencias. Es un escenario muy parecido al que se planteó hace poco más de dos años con la anulación del Safe Harbor por el TJUE, lo que causó numerosos problemas en los negocios transcontinentales.
Esta recomendación, si bien es enormemente preocupante, no resulta sorprendente. La propia sentencia del TJUE sobre el Safe Harbor ya contenía una argumentación que es perfectamente aplicable a la situación actual. En esencia, el TJUE decía que si no existen garantías de que el país de destino en una transferencia internacional respeta los principios y derechos fundamentales de los europeos en materia de protección de datos, tales transferencias no se pueden realizar a ese país. En aquella ocasión se hacía referencia a los accesos generalizados a datos de europeos que realizaban las agencias de investigación americanas, que se habían puesto de manifiesto en los documentos que salieron a la luz a raíz de la mega filtración de Snowden, posibilitando injerencias por parte de las autoridades públicas estadounidenses en los derechos fundamentales de las personas. En el documento que ha salido ahora del Parlamento, esta Institución europea hace referencia a casos recientes como el de Facebook y Cambridge Analytica, señalando que ambas compañías están registradas en el marco del Privacy Shield y ello no ha evitado el mal uso de los datos, de lo que se deduce que ese marco no es suficientemente protector de los derechos de los interesados, porque no permite que las obligaciones de supervisión y control se estén ejercitando de forma adecuada.

Pero no hace falta acudir a casos tan mediáticos para ver que el Privacy Shield ya estaba afectado por serios problemas desde casi sus comienzos. Podemos recordar que, ya en enero de 2017, el entonces recién nombrado Presidente Donald Trump, en la primera Orden Ejecutiva que firmó tras su toma de posesión como primer mandatario de los EEUU, bajo el título de “Aumento de la Seguridad Pública en el Interior de los EEUU” ya decía que “Las Agencias [estatales] deberán asegurar que sus políticas de privacidad excluyan de la protección de la Ley de Privacidad a personas que no sean ciudadanos de los EEUU o residentes legales permanentes en relación con los datos personales, en tanto sea posible de acuerdo con el derecho en vigor” (art. 14). Con esta declaración de intenciones resultaba patente que el contenido del Privacy Shield no casaba bien con tales principios, y algunos ya escribimos en aquel momento que el Privacy Shield estaba herido de muerte.
El documento del Parlamento que ha salido a la luz cita también como un punto de preocupación la reciente aprobación en EEUU de la “Clarifying Lawful Overseas Use of DataAct”, conocida como la “CLOUD Act”, que permite acceder a datos almacenados por empresas americanas cualquiera que sea la ubicación de sus servidores, evitando así la necesidad de acudir a mecanismos de colaboración internacional a través de tratados de cooperación judicial.

Se divisa, por tanto, nuevamente, un difícil horizonte para las transferencias internacionales entre Europa y EEUU. Es cierto que existen otros mecanismos para regularizar transferencias internacionales en el recientemente aplicable ReglamentoGeneral de Protección de Datos de la Unión Europea (RGPD), pero el marco del Privacy Shield era muy cómodo porque evita tener que firmar documentos específicos para cada transacción que se produzca entre partes, facilita el cumplimiento de la obligación de informar y supone un marco estable de transferencias. Veremos si el Parlamento adopta la propuesta de resolución del Comité de Libertades y, en tal caso, qué ocurre de aquí al 1 de septiembre. Dado el escenario político existente no parece que podamos ser demasiado optimistas.

lunes, 30 de abril de 2018

Recta final para el Reglamento General de Protección de Datos

(Artículo publicado en la revista EMPRESARIO de la CEOE, en su número 3 (Primavera 2018)


Puedes acceder a la edición impresa del artículo pinchando aquí.




Recta final para el RGPD


Se acaba el tiempo de las conjeturas, se acaba el tiempo de las cábalas, se acaba el tiempo de pensar en cómo lo hacemos, se acaba el tiempo. La fecha del 25 de mayo de 2018 está tan cercana que ya la vemos en la misma página del calendario que el día en el que estamos. Y sí, esa es la fecha, ese es el día en el que será obligatorio cumplir el Reglamento General de Protección de Datos de la Unión Europea (RGPD).
No hay prórrogas


¿Pero no hay prórrogas? ¿No falta una ley que aplique todo esto en España y que nos dé algo más de tiempo? No. Y también no. El RGPD es un tipo de norma europea que se caracteriza, precisamente, porque tiene aplicación directa en todos los estados miembros, con el mismo rango que las leyes emanadas de los parlamentos nacionales. Surten efectos plenos sin necesidad de que se dicten normas nacionales. Es más, un reglamento europeo relega la aplicación de cualquier norma nacional que contravenga lo dispuesto en él.
Reglamento descafeinado


Es este un caso, sin embargo, en que la complejidad jurídica, política e incluso sociológica de la materia, ha hecho que el RGPD sea un reglamento descafeinado en ciertos aspectos, porque el propio texto de la norma señala expresamente que determinados puntos muy concretos sean decididos de forma definitiva por los estados miembros. Y esa es la razón de que tenga que existir también una nueva ley nacional de protección de datos en cada uno de los estados miembros. Pero tenemos que ver esa ley nacional como un “anexo” al RGPD, y no como una norma de desarrollo o transposición. Lo que aplica es el RGPD y, completando el  esquema, la ley nacional. En España, por ese motivo, tendremos una nueva LOPD, que se llamará igual que la de 1999, pero el único parecido entre ambas normas es única y exclusivamente el nombre. Por cierto que la ley española todavía tardará algún tiempo en reflejarse en las páginas del BOE, porque su tramitación parlamentaria está en una fase todavía muy incipiente. Precisamente en estos días se han presentado las 369 enmiendas al proyecto de ley que se tramita en el Congreso de los Diputados.
De obligado cumplimiento


Bueno y, llegados aquí, ¿qué tengo que hacer? Cumplir. Unos cumplirán porque están convencidos de que el respeto de un derecho fundamental como la protección de datos personales es un valor en sí mismo. Otros cumplirán para evitar sanciones económicas potencialmente muy cuantiosas. Y otros, cada vez más, cumplirán porque el daño reputacional de no hacerlo es inasumible. Estamos viviendo episodios en estas semanas que son ejemplos de libro de cómo las cuestiones relacionadas con la protección (o desprotección) de los datos personales afecta a la reputación de una compañía. Y, no seamos ciegos, la reputación es, a fin de cuentas, el valor de la acción, pero no sólo de la compañía directamente afectada, sino de todas las que se le parecen o hacen cosas que, a vista del consumidor, pueden estar relacionadas. Es cierto que hay cierto componente de falsa ingenuidad en todo ello, pero así funciona el mercado, y me remito a la infinidad de estudios sociológicos que explican los vaivenes de las cotizaciones producidos como consecuencia, a veces, de hechos coyunturales que se producen en el momento oportuno y en el lugar adecuado.
Profesionales cualificados


Hay que cumplir el 25 de mayo de 2018, decía. Y cumplir una norma como el RGPD no es sencillo y conlleva costes. Me refiero a Cumplir, con mayúscula, no a disponer de un papel firmado por un desaprensivo a quien no le importa empujar a empresas al vacío de enormes riesgos con tal de conseguir unas monedas. Cumplir como es debido requiere conocimientos especializados que, en muchos sectores, implican la especial obligación de designar a un Delegado de Protección de Datos (DPD). El DPD es un profesional cualificado con experiencia y conocimientos profundos en materia de protección de datos cuyas funciones se resumen en asesorar y supervisar a la organización en esta materia. Nuevo campo de especialización profesional para miles de perfiles jurídico-técnicos.
Cambios significativos


Cumplir implica cambios significativos que van mucho, mucho más allá de simplemente adaptar unas cláusulas en un formulario. De hecho, las cláusulas son lo último en adaptarse, porque el contenido de la cláusula adaptada a RGPD requiere incorporar toda una serie de información y partir de unas decisiones que es preciso preparar y adoptar previamente.


Seamos realistas, adaptar una organización para cumplir el RGPD es un proceso que lleva meses. Es largo, costoso y complejo. Pero hay que hacerlo, y la buena noticia es que tiene premio. Por supuesto, el premio es no tener sanciones, mantener (o incluso aumentar) la reputación y tener la conciencia tranquila. Pero hay premio adicional, el bonus, el número complementario, el Jackpot. Ese premio es la activación del dato como valor en el negocio. Un tratamiento correcto de los datos, que cumpla la normativa y respete los derechos de los interesados se convierte, automáticamente, en un activo de la compañía sobre el que construir y cimentar negocios.
Cuenta atrás
No es una quimera ni un espejismo. Es una realidad y casi una necesidad encarar el tratamiento de datos personales como la gestión de un activo y no sólo como el control de un riesgo. Avanzar por la senda de la protección de los datos como la protección de un activo es un camino de futuro en cualquier compañía. Pero, por supuesto, esto sólo es posible si se cumple la norma. Estamos en la recta final. Se acaba el tiempo. El RGPD ya está aquí.

sábado, 21 de abril de 2018

¿Verdadero o falso? Curiosidades de las enmiendas a la nueva LOPD.


Entre las 369 enmiendas presentadas por los grupos parlamentarios al proyecto de Ley Orgánica de Protección de Datos se encuentran algunas curiosidades. He traído aquí algunas de ellas. Con este listado bien podría plantearse un concurso del tipo ¿verdadero o falso?


#Enmiendas_nLOPD ¿verdadero o falso?


Una enmienda propone que sea necesario el consentimiento del interesado para incluirlo en ficheros de morosos 😎

Algunas enmiendas al artículo 19 propone eliminar el interés legítimo como base para tratar datos de representantes de empresas, con el argumento de que puede ser demasiado invasivo para los derechos de los trabajadores (creo que no se ha entendido bien para qué está el artículo) 😳

Una enmienda propone una nueva Disposición Transitoria 7ª proponeindo que se realicen PIAs sólo de tratamientos posteriores al 25/5/2018 💃

En una enmienda se plantea incluir una nueva Disposición Final 4ª bis proponiendo medidas para evitar que se repita el asunto Cambridge Analytica, citando el caso expresamente, mediante una modificación de la Ley General Electoral y el uso de datos con fines de publicidad electoral 👮

Una enmienda de Ciudadanos propone sustituir todas las referencias a “datos personales” por “datos de carácter personal” y una enmienda del Grupo Socialista propone justo lo contrario, que las referencias a “datos de carácter personal” se sustituyan por “datos personales”.

Un enmienda que me alegra especialmente, porque es un asunto que planteé expresamente en mi comparecencia ante la Comisión de Justicia, propone añadir una nueva Disposición Adicional 18ª para que se puedan seguir aplicando en pymes las medidas de seguridad del RD 1720/2007, facilitando así la definición de medidas de seguridad organizativas y técnicas y aprovechando la ventaja que teníamos en España en esta materia con esa norma que desarrollaba la LOPD de 1999. La propone el Grupo Socialista.

Con el fin de atajar determinadas acciones comerciales que se venían produciendo ya en materia de LOPD, una enmienda propone que se considere como práctica comercial agresiva de las previstas Ley Competencia Desleal cualquier acción comercial de supuestos asesores que se hacen pasar por entidades vinculadas a la AEPD o que amenazan con denuncias por incumplimiento. Lo propone el Grupo Socialista añadiendo una nueva Disposición Adicional 20ª.

Los grupos Unidos Podemos, Ciudadanos y Socialista, proponen que el Presidente de AEPD sea nombrado por mayoría de tres quintos del Congreso de los Diputados.

Por pedir que no quede: unos grupos parlamentarios plantean que el procedimiento para la aprobación de BCRs se finalice en un máximo de 9 meses, pero otra enmienda va más allá y plantea que el plazo máximo no se demore más de 3 meses 😂

El grupo Ciudadanos y el grupo Socialista proponen eliminar el concepto de “bloqueo” y, por tanto, suprimir el artículo 32 del Proyecto de Ley. Muy adecuado el planteamiento, teniendo en cuenta que el objetivo que se pretendía con el bloqueo en la actual LOPD se consigue en el RGPD por otras vías como la limitación del tratamiento o la implementación de medidas de seguridad específicas para tratamientos limitados basados en interés legítmo 👏👏

Se proponen varias enmiendas al artículo 24 del Proyecto de Ley relativo a los canales internos de denuncias, pero la más agresiva es la del Grupo Unidos Podemos, que plantea directamente su eliminación #whistleblowing 👀

Sólo hay dos artículos que han recibido enmiendas de todos los Grupos Parlamentarios. Son el artículo 22, relativo a videovigilancia y el artículo 34 sobre el Delegado de Protección de Datos (DPD). La complicación está en que varias de las enmiendas presentadas van en direcciones diametralmente opuestas.

Una de las enmiendas más relevantes es el conjunto modificativo que plantea el Grupo Socialista, que modifica el nombre de la Ley e incluye un nuevo Título X que supone, realmente, incluir una nueva ley dentro de la propia LOPD. Así, la Ley pasaría a llamarse Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales, y el Título X contendría 15 nuevos artículos (79 al 93), regulando diversos aspectos de los derechos y obligaciones en materia de derechos digitales.

viernes, 20 de abril de 2018


Las 369 enmiendas al Proyecto de LOPD:


Me he leído todas las enmiendas presentadas al Proyecto de LOPD y su motivación. No es que me guste torturarme, simplemente tenía curiosidad por ver el resultado de un proceso en el que he intervenido personalmente y al que le he tomado cierto cariño. Las enmiendas se pueden consultar aquí.
En otra ocasión quizá escriba sobre cuestiones más técnicas que se derivan de las enmiendas, pero aquí sólo quiero hacer un examen puramente estadístico. Son 369 enmiendas, aunque de verdad, de verdad, son sólo 314, y después cuento el secreto de esta reducción.
El Grupo Socialista presenta 93 enmiendas, y además le cambia el nombre a la Ley e introduce un nuevo Título X, que realmente es una ley dentro de otra ley: Garantía de los Derechos Digitales.
El PDCat se coloca en segundo lugar con 85 enmiendas, unas 15 de ellas referidas a cuestiones de competencias de la autoridad autonómica de protección de datos. Resulta curioso observar que se han unido a Unidos Podemos proponiendo que para incluir a un moroso en un fichero de solvencia sea necesario contar con el consentimiento del moroso…
En tercer lugar tendríamos a ERC, pero ojo, no sé si pasará el control anti-doping… más abajo me explico. Por supuesto, cuestiones de competencias de las autoridades autonómicas. En cuarto lugar se sitúa el PNV, con 37 enmiendas, de las cuales 11 se refieren a cuestiones de competencias autonómicas.

Muy cerca se coloca el Grupo Popular, con un sorprendente paquete de 31 enmiendas. Sorprendente dado que el proyecto de Ley ha sido presentado por el Gobierno. De todas formas, muchas de ellas son cuestiones cosméticas y mejoras técnicas, especialmente en lo que se refiere a la tramitación de expedientes por parte de la autoridad de control.
 
Casi con un empate, el Grupo de Unidos Podemos formula 30 enmiendas. Entre ellas, proponen la eliminación de los canales internos de denuncia (“whistleblowing”) o el establecimiento de un umbral mínimo de 300€ para poder notificar una deuda a un fichero de solvencia.

En última posición (antes del control final) se sitúa Ciudadanos, que ha presentado 27 enmiendas, siendo de resaltar la solicitud de que el presidente de la AEPD sea nombrado por el Congreso de los Diputados con una mayoría de 3/5, algo en lo que coinciden Unidos Podemos y el Grupo Socialista.
Desvelemos ya el misterio. ¿Por qué son 314 enmiendas y no 369? Pues porque, una vez leídas todas, y llevado quizá por mi vertiente docente, he podido comprobar que hay 55 enmiendas copiadas. Literalmente copiadas. No sé quién ha copiado a quién, pero sí puedo decir que en las enmiendas de ERC hay 51 que son literalmente la misma que otras tantas de PDCat y 3 que son la misma que 3 de Unidos Podemos. O uno se ha copiado del otro, o el otro del uno, o los dos de un tercero. Da qué pensar sobre el proceso.


viernes, 6 de abril de 2018


Cómo echo de menos que mi huella dactilar no funcione (¿?)

Ayer llegué temprano (concepto jurídico indeterminado) a la estación de Cercanías, con 3 minutos de antelación al próximo tren, que me dejaría al lado de la oficina exactamente con el tiempo suficiente de llegar a mi primera reunión del día con cierta holgura. De pronto, cuando acerqué mi mano al bolsillo donde llevo las tarjetas, ese conocido sentimiento de hundimiento instantáneo se apoderó de mí. Allí donde debía haber un bulto cuadrado conteniendo parte de mi vida diaria (tarjeta de transporte, tarjeta para acceder a la oficina, tarjeta del cajero, tarjeta del colegio de abogados, tarjeta de salud, tarjeta de puntos de Iberia, sello del Rey Juan Carlos que desde hace años tengo que sacar para guardar en un sitio que no lo pierda, tarjeta de ¿y para qué llevo esta tarjeta aquí si hace años que no la uso?...) en fin, todo eso que resulta esencial en mi día a día y tenía que estar allí bajo mi mano, no había nada. Tras palpar un par de veces con atención, como atravesando la fase de negación que forma parte de cualquier duelo, me hice a la idea y pasé a la fase de aceptación (como veréis, premature). Sí, no estaba allí. Debo reconocer que no era un sentimiento nuevo, hace dos semanas me pasó lo mismo. Mi mente inmediatamente repasó en 3 segundos el horror de las próximas horas: si vuelvo a casa a por las tarjetas y regreso a la estación no llego a la reunión. Si vuelvo a casa y me voy directamente en coche a la oficina no llego a la reunión. Sólo me queda una opción, irme directamente a la reunión, y no pensaré demasiado, al menos de momento, en que no tengo con qué pagar el parking, y confiar en que el depósito que está marcando ya la reserva desde ayer se estire un poco y no me deje tirado en plena carretera, al menos en el trayecto de ida!

Sé lo que estás pensando, ¿no llevas nada en metálico, ni siquiera para el tren? Te respondo claramente: no, normalmente no llevo ni para un café. Acabo de decir que mi vida está en eso que no llevaba.
He dicho bien, el sentimiento no era nuevo. Pero esta vez, por algún motivo, me enfadé. Fase de ira, que me había saltado antes (no siempre las fases del duelo se presentan ordenadas, pero sí hay que pasarlas todas). Me enfadé enormemente. Y me enfadé por no tener un acceso a mi cuenta bancaria vinculado a mi huella dactilar. ¿Por qué? ¿Por qué no tengo activada mi huella dactilar para acceder al tren de Cercanías? ¿Por qué no puedo pagar un mísero billete de tren con mi huella dactilar? ¿Por qué no puedo llegar a la gasolinera y llenar el depósito y simplemente irme porque mi huella ha pagado automáticamente mientras sujetaba el surtidor con la mano? ¿Por qué no tengo una tarjeta de acceso al parking en mi dedo, y el acceso a la oficina también? ¿Por qué no tengo la tarjeta de puntos del supermercado asociada a mi huella dactilar?

Bueno, reconozco que mi enfado comenzaba a rozar extremos que no podía controlar (¿dónde pondría el sello de Juan Carlos si tuviera la huella dactilar activada?), pero mi yo más profundo tomó una determinación. No escatimaré en esfuerzos hasta conseguir recuperar el funcionamiento de mi huella dactilar. Bueno, hasta conseguir que funcione algún día, pero me sentía como si hubiera funcionado siempre y se me hubiera desactivado.
Cuando me calmé y entré en razón, en la fase definitiva de negociación (desordenada, lo sé), me prometí a mí mismo no volver a dejarme el tarjetero en casa.

miércoles, 7 de marzo de 2018

Mi comparecencia ante la Comisión de Justicia del Congreso de los Diputados en relación con la tramitación de la nueva Ley Orgánica de Protección de Datos.


Ha sido un verdadero honor para mí haber podido participar como compareciente ante la Comisión de Justicia del Congreso de los Diputados en este importantísimo trámite de creación legislativa. Una norma como la Ley Orgánica de Protección de Datos en el marco del Reglamento General de Protección de Datos de la Unión Europea (RGPD) es un hito legislativo sin precedentes en los últimos 20 años, y como abogado especializado en la materia resulta enormemente gratificante haber podido aportar mi granito de arena.

Mi intención era doble: por una parte, trasladar al legislador la necesidad de que la regulación en materia de protección de datos no pierda de vista la realidad existente actualmente, y es que los datos personales no son sólo un derecho fundamental, sino también un activo con valor económico que es una fuente de ingresos en la economía digital.

Por otra parte, quería explicarle a los Señores Diputados cuáles son los problemas prácticos que nos estamos encontrando en los procesos de adaptación de diversas empresas al RGPD. Problemas y dudas y situaciones que surgen cuando es necesario implementar determinadas obligaciones o soluciones, y que son fruto de que la práctica diraria en los negocios se había adecuado a una forma diferente de hacer las cosas. El objetivo era tratar de que algunas de esos problemas se puedan resolver con la redacción que se dé a la LOPD en algunos aspectos.

Por último, y como consecuencia de ambos enfoques, he querido plantear al Congreso que España tiene una oportunidad única en este momento para convertirse en un polo de atracción de inversiones para negocios digitales y desarrollos tecnológicos relacionados con los datos, pero ello sólo será posible si la regulación se limita a desarrollar lo que el RGPD permite y facilitar aquellas otras cuestiones que puedan caber dentro de los márgenes de esa potestad, en lugar de aumentar la incertidumbre y la dificultad de cumplimiento introduciendo exceso de burocracia innecesaria o reiterando conceptos jurídicos indeterminados.

Adicionalmente, planteé la conveniencia de introducir un esquema de "sand box" para nuevos avances tecnológicos, de forma que los desarrolladores de productos y servicios innovadores basados en datos vean en España un lugar amigo, un territorio favorable a la innovación y el desarrollo tecnológico, pero sin que ello implique renuncia a la protección del derecho fundamental a la protección de datos, algo de lo que en España podemos presumir desde hace mucho tiempo.

El video de la comparecencia se puede ver aquí:

https://app.congreso.es/v/12617858

Nota de prensa sobre la comparecencia aquí:

http://www.garrigues.com/es_ES/noticia/alejandro-padin-espana-tiene-la-oportunidad-de-situarse-en-primera-linea-en-el-mercado-de