lunes, 30 de abril de 2018

Recta final para el Reglamento General de Protección de Datos

(Artículo publicado en la revista EMPRESARIO de la CEOE, en su número 3 (Primavera 2018)


Puedes acceder a la edición impresa del artículo pinchando aquí.




Recta final para el RGPD


Se acaba el tiempo de las conjeturas, se acaba el tiempo de las cábalas, se acaba el tiempo de pensar en cómo lo hacemos, se acaba el tiempo. La fecha del 25 de mayo de 2018 está tan cercana que ya la vemos en la misma página del calendario que el día en el que estamos. Y sí, esa es la fecha, ese es el día en el que será obligatorio cumplir el Reglamento General de Protección de Datos de la Unión Europea (RGPD).
No hay prórrogas


¿Pero no hay prórrogas? ¿No falta una ley que aplique todo esto en España y que nos dé algo más de tiempo? No. Y también no. El RGPD es un tipo de norma europea que se caracteriza, precisamente, porque tiene aplicación directa en todos los estados miembros, con el mismo rango que las leyes emanadas de los parlamentos nacionales. Surten efectos plenos sin necesidad de que se dicten normas nacionales. Es más, un reglamento europeo relega la aplicación de cualquier norma nacional que contravenga lo dispuesto en él.
Reglamento descafeinado


Es este un caso, sin embargo, en que la complejidad jurídica, política e incluso sociológica de la materia, ha hecho que el RGPD sea un reglamento descafeinado en ciertos aspectos, porque el propio texto de la norma señala expresamente que determinados puntos muy concretos sean decididos de forma definitiva por los estados miembros. Y esa es la razón de que tenga que existir también una nueva ley nacional de protección de datos en cada uno de los estados miembros. Pero tenemos que ver esa ley nacional como un “anexo” al RGPD, y no como una norma de desarrollo o transposición. Lo que aplica es el RGPD y, completando el  esquema, la ley nacional. En España, por ese motivo, tendremos una nueva LOPD, que se llamará igual que la de 1999, pero el único parecido entre ambas normas es única y exclusivamente el nombre. Por cierto que la ley española todavía tardará algún tiempo en reflejarse en las páginas del BOE, porque su tramitación parlamentaria está en una fase todavía muy incipiente. Precisamente en estos días se han presentado las 369 enmiendas al proyecto de ley que se tramita en el Congreso de los Diputados.
De obligado cumplimiento


Bueno y, llegados aquí, ¿qué tengo que hacer? Cumplir. Unos cumplirán porque están convencidos de que el respeto de un derecho fundamental como la protección de datos personales es un valor en sí mismo. Otros cumplirán para evitar sanciones económicas potencialmente muy cuantiosas. Y otros, cada vez más, cumplirán porque el daño reputacional de no hacerlo es inasumible. Estamos viviendo episodios en estas semanas que son ejemplos de libro de cómo las cuestiones relacionadas con la protección (o desprotección) de los datos personales afecta a la reputación de una compañía. Y, no seamos ciegos, la reputación es, a fin de cuentas, el valor de la acción, pero no sólo de la compañía directamente afectada, sino de todas las que se le parecen o hacen cosas que, a vista del consumidor, pueden estar relacionadas. Es cierto que hay cierto componente de falsa ingenuidad en todo ello, pero así funciona el mercado, y me remito a la infinidad de estudios sociológicos que explican los vaivenes de las cotizaciones producidos como consecuencia, a veces, de hechos coyunturales que se producen en el momento oportuno y en el lugar adecuado.
Profesionales cualificados


Hay que cumplir el 25 de mayo de 2018, decía. Y cumplir una norma como el RGPD no es sencillo y conlleva costes. Me refiero a Cumplir, con mayúscula, no a disponer de un papel firmado por un desaprensivo a quien no le importa empujar a empresas al vacío de enormes riesgos con tal de conseguir unas monedas. Cumplir como es debido requiere conocimientos especializados que, en muchos sectores, implican la especial obligación de designar a un Delegado de Protección de Datos (DPD). El DPD es un profesional cualificado con experiencia y conocimientos profundos en materia de protección de datos cuyas funciones se resumen en asesorar y supervisar a la organización en esta materia. Nuevo campo de especialización profesional para miles de perfiles jurídico-técnicos.
Cambios significativos


Cumplir implica cambios significativos que van mucho, mucho más allá de simplemente adaptar unas cláusulas en un formulario. De hecho, las cláusulas son lo último en adaptarse, porque el contenido de la cláusula adaptada a RGPD requiere incorporar toda una serie de información y partir de unas decisiones que es preciso preparar y adoptar previamente.


Seamos realistas, adaptar una organización para cumplir el RGPD es un proceso que lleva meses. Es largo, costoso y complejo. Pero hay que hacerlo, y la buena noticia es que tiene premio. Por supuesto, el premio es no tener sanciones, mantener (o incluso aumentar) la reputación y tener la conciencia tranquila. Pero hay premio adicional, el bonus, el número complementario, el Jackpot. Ese premio es la activación del dato como valor en el negocio. Un tratamiento correcto de los datos, que cumpla la normativa y respete los derechos de los interesados se convierte, automáticamente, en un activo de la compañía sobre el que construir y cimentar negocios.
Cuenta atrás
No es una quimera ni un espejismo. Es una realidad y casi una necesidad encarar el tratamiento de datos personales como la gestión de un activo y no sólo como el control de un riesgo. Avanzar por la senda de la protección de los datos como la protección de un activo es un camino de futuro en cualquier compañía. Pero, por supuesto, esto sólo es posible si se cumple la norma. Estamos en la recta final. Se acaba el tiempo. El RGPD ya está aquí.

sábado, 21 de abril de 2018

¿Verdadero o falso? Curiosidades de las enmiendas a la nueva LOPD.


Entre las 369 enmiendas presentadas por los grupos parlamentarios al proyecto de Ley Orgánica de Protección de Datos se encuentran algunas curiosidades. He traído aquí algunas de ellas. Con este listado bien podría plantearse un concurso del tipo ¿verdadero o falso?


#Enmiendas_nLOPD ¿verdadero o falso?


Una enmienda propone que sea necesario el consentimiento del interesado para incluirlo en ficheros de morosos 😎

Algunas enmiendas al artículo 19 propone eliminar el interés legítimo como base para tratar datos de representantes de empresas, con el argumento de que puede ser demasiado invasivo para los derechos de los trabajadores (creo que no se ha entendido bien para qué está el artículo) 😳

Una enmienda propone una nueva Disposición Transitoria 7ª proponeindo que se realicen PIAs sólo de tratamientos posteriores al 25/5/2018 💃

En una enmienda se plantea incluir una nueva Disposición Final 4ª bis proponiendo medidas para evitar que se repita el asunto Cambridge Analytica, citando el caso expresamente, mediante una modificación de la Ley General Electoral y el uso de datos con fines de publicidad electoral 👮

Una enmienda de Ciudadanos propone sustituir todas las referencias a “datos personales” por “datos de carácter personal” y una enmienda del Grupo Socialista propone justo lo contrario, que las referencias a “datos de carácter personal” se sustituyan por “datos personales”.

Un enmienda que me alegra especialmente, porque es un asunto que planteé expresamente en mi comparecencia ante la Comisión de Justicia, propone añadir una nueva Disposición Adicional 18ª para que se puedan seguir aplicando en pymes las medidas de seguridad del RD 1720/2007, facilitando así la definición de medidas de seguridad organizativas y técnicas y aprovechando la ventaja que teníamos en España en esta materia con esa norma que desarrollaba la LOPD de 1999. La propone el Grupo Socialista.

Con el fin de atajar determinadas acciones comerciales que se venían produciendo ya en materia de LOPD, una enmienda propone que se considere como práctica comercial agresiva de las previstas Ley Competencia Desleal cualquier acción comercial de supuestos asesores que se hacen pasar por entidades vinculadas a la AEPD o que amenazan con denuncias por incumplimiento. Lo propone el Grupo Socialista añadiendo una nueva Disposición Adicional 20ª.

Los grupos Unidos Podemos, Ciudadanos y Socialista, proponen que el Presidente de AEPD sea nombrado por mayoría de tres quintos del Congreso de los Diputados.

Por pedir que no quede: unos grupos parlamentarios plantean que el procedimiento para la aprobación de BCRs se finalice en un máximo de 9 meses, pero otra enmienda va más allá y plantea que el plazo máximo no se demore más de 3 meses 😂

El grupo Ciudadanos y el grupo Socialista proponen eliminar el concepto de “bloqueo” y, por tanto, suprimir el artículo 32 del Proyecto de Ley. Muy adecuado el planteamiento, teniendo en cuenta que el objetivo que se pretendía con el bloqueo en la actual LOPD se consigue en el RGPD por otras vías como la limitación del tratamiento o la implementación de medidas de seguridad específicas para tratamientos limitados basados en interés legítmo 👏👏

Se proponen varias enmiendas al artículo 24 del Proyecto de Ley relativo a los canales internos de denuncias, pero la más agresiva es la del Grupo Unidos Podemos, que plantea directamente su eliminación #whistleblowing 👀

Sólo hay dos artículos que han recibido enmiendas de todos los Grupos Parlamentarios. Son el artículo 22, relativo a videovigilancia y el artículo 34 sobre el Delegado de Protección de Datos (DPD). La complicación está en que varias de las enmiendas presentadas van en direcciones diametralmente opuestas.

Una de las enmiendas más relevantes es el conjunto modificativo que plantea el Grupo Socialista, que modifica el nombre de la Ley e incluye un nuevo Título X que supone, realmente, incluir una nueva ley dentro de la propia LOPD. Así, la Ley pasaría a llamarse Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales, y el Título X contendría 15 nuevos artículos (79 al 93), regulando diversos aspectos de los derechos y obligaciones en materia de derechos digitales.

viernes, 20 de abril de 2018


Las 369 enmiendas al Proyecto de LOPD:


Me he leído todas las enmiendas presentadas al Proyecto de LOPD y su motivación. No es que me guste torturarme, simplemente tenía curiosidad por ver el resultado de un proceso en el que he intervenido personalmente y al que le he tomado cierto cariño. Las enmiendas se pueden consultar aquí.
En otra ocasión quizá escriba sobre cuestiones más técnicas que se derivan de las enmiendas, pero aquí sólo quiero hacer un examen puramente estadístico. Son 369 enmiendas, aunque de verdad, de verdad, son sólo 314, y después cuento el secreto de esta reducción.
El Grupo Socialista presenta 93 enmiendas, y además le cambia el nombre a la Ley e introduce un nuevo Título X, que realmente es una ley dentro de otra ley: Garantía de los Derechos Digitales.
El PDCat se coloca en segundo lugar con 85 enmiendas, unas 15 de ellas referidas a cuestiones de competencias de la autoridad autonómica de protección de datos. Resulta curioso observar que se han unido a Unidos Podemos proponiendo que para incluir a un moroso en un fichero de solvencia sea necesario contar con el consentimiento del moroso…
En tercer lugar tendríamos a ERC, pero ojo, no sé si pasará el control anti-doping… más abajo me explico. Por supuesto, cuestiones de competencias de las autoridades autonómicas. En cuarto lugar se sitúa el PNV, con 37 enmiendas, de las cuales 11 se refieren a cuestiones de competencias autonómicas.

Muy cerca se coloca el Grupo Popular, con un sorprendente paquete de 31 enmiendas. Sorprendente dado que el proyecto de Ley ha sido presentado por el Gobierno. De todas formas, muchas de ellas son cuestiones cosméticas y mejoras técnicas, especialmente en lo que se refiere a la tramitación de expedientes por parte de la autoridad de control.
 
Casi con un empate, el Grupo de Unidos Podemos formula 30 enmiendas. Entre ellas, proponen la eliminación de los canales internos de denuncia (“whistleblowing”) o el establecimiento de un umbral mínimo de 300€ para poder notificar una deuda a un fichero de solvencia.

En última posición (antes del control final) se sitúa Ciudadanos, que ha presentado 27 enmiendas, siendo de resaltar la solicitud de que el presidente de la AEPD sea nombrado por el Congreso de los Diputados con una mayoría de 3/5, algo en lo que coinciden Unidos Podemos y el Grupo Socialista.
Desvelemos ya el misterio. ¿Por qué son 314 enmiendas y no 369? Pues porque, una vez leídas todas, y llevado quizá por mi vertiente docente, he podido comprobar que hay 55 enmiendas copiadas. Literalmente copiadas. No sé quién ha copiado a quién, pero sí puedo decir que en las enmiendas de ERC hay 51 que son literalmente la misma que otras tantas de PDCat y 3 que son la misma que 3 de Unidos Podemos. O uno se ha copiado del otro, o el otro del uno, o los dos de un tercero. Da qué pensar sobre el proceso.


viernes, 6 de abril de 2018


Cómo echo de menos que mi huella dactilar no funcione (¿?)

Ayer llegué temprano (concepto jurídico indeterminado) a la estación de Cercanías, con 3 minutos de antelación al próximo tren, que me dejaría al lado de la oficina exactamente con el tiempo suficiente de llegar a mi primera reunión del día con cierta holgura. De pronto, cuando acerqué mi mano al bolsillo donde llevo las tarjetas, ese conocido sentimiento de hundimiento instantáneo se apoderó de mí. Allí donde debía haber un bulto cuadrado conteniendo parte de mi vida diaria (tarjeta de transporte, tarjeta para acceder a la oficina, tarjeta del cajero, tarjeta del colegio de abogados, tarjeta de salud, tarjeta de puntos de Iberia, sello del Rey Juan Carlos que desde hace años tengo que sacar para guardar en un sitio que no lo pierda, tarjeta de ¿y para qué llevo esta tarjeta aquí si hace años que no la uso?...) en fin, todo eso que resulta esencial en mi día a día y tenía que estar allí bajo mi mano, no había nada. Tras palpar un par de veces con atención, como atravesando la fase de negación que forma parte de cualquier duelo, me hice a la idea y pasé a la fase de aceptación (como veréis, premature). Sí, no estaba allí. Debo reconocer que no era un sentimiento nuevo, hace dos semanas me pasó lo mismo. Mi mente inmediatamente repasó en 3 segundos el horror de las próximas horas: si vuelvo a casa a por las tarjetas y regreso a la estación no llego a la reunión. Si vuelvo a casa y me voy directamente en coche a la oficina no llego a la reunión. Sólo me queda una opción, irme directamente a la reunión, y no pensaré demasiado, al menos de momento, en que no tengo con qué pagar el parking, y confiar en que el depósito que está marcando ya la reserva desde ayer se estire un poco y no me deje tirado en plena carretera, al menos en el trayecto de ida!

Sé lo que estás pensando, ¿no llevas nada en metálico, ni siquiera para el tren? Te respondo claramente: no, normalmente no llevo ni para un café. Acabo de decir que mi vida está en eso que no llevaba.
He dicho bien, el sentimiento no era nuevo. Pero esta vez, por algún motivo, me enfadé. Fase de ira, que me había saltado antes (no siempre las fases del duelo se presentan ordenadas, pero sí hay que pasarlas todas). Me enfadé enormemente. Y me enfadé por no tener un acceso a mi cuenta bancaria vinculado a mi huella dactilar. ¿Por qué? ¿Por qué no tengo activada mi huella dactilar para acceder al tren de Cercanías? ¿Por qué no puedo pagar un mísero billete de tren con mi huella dactilar? ¿Por qué no puedo llegar a la gasolinera y llenar el depósito y simplemente irme porque mi huella ha pagado automáticamente mientras sujetaba el surtidor con la mano? ¿Por qué no tengo una tarjeta de acceso al parking en mi dedo, y el acceso a la oficina también? ¿Por qué no tengo la tarjeta de puntos del supermercado asociada a mi huella dactilar?

Bueno, reconozco que mi enfado comenzaba a rozar extremos que no podía controlar (¿dónde pondría el sello de Juan Carlos si tuviera la huella dactilar activada?), pero mi yo más profundo tomó una determinación. No escatimaré en esfuerzos hasta conseguir recuperar el funcionamiento de mi huella dactilar. Bueno, hasta conseguir que funcione algún día, pero me sentía como si hubiera funcionado siempre y se me hubiera desactivado.
Cuando me calmé y entré en razón, en la fase definitiva de negociación (desordenada, lo sé), me prometí a mí mismo no volver a dejarme el tarjetero en casa.