El “Privacy Shield” ¿tiene los días contados?

El “Privacy Shield” ¿tiene los días contados?

Bajo la lupa de la Unión Europea

El Comité de Libertades Civiles del Parlamento Europeo ha formulado una propuesta de resolución para su aprobación en pleno, en la que pide a la Comisión Europea la suspensión del acuerdo “Privacy Shield” entre la Unión Europea y los EEUU, el acuerdo en vigor desde julio de 2016 en virtud del cual se facilita la transferencia internacional de datos entre ambas zonas (ver nota de prensa).

El Privacy Shield sustituyó al anterior acuerdo existente entre la Unión Europea y los EEUU, denominado “Safe Harbor”, que fue anulado por sentencia del Tribunal de Justicia de la Unión Europea a raíz de una denuncia del ciudadano austríaco Maximillian Schrems ante la agencia de protección de datos de Irlanda.

En el borrador de resolución del Comité de Libertades Civiles, el Parlamento Europeo da de plazo hasta el 1 de septiembre de 2018, recomendando que se suspenda el Privacy Shield en esa fecha si no se acredita que los EEUU cumplen plenamente el Acuerdo internacional, e igualmente recomienda que se mantenga la suspensión en tanto no se acredite ese pleno cumplimiento.

De llevarse a cabo esta resolución, si se verifica la falta de adaptación de EEUU al Privacy Shield, el 1 de septiembre dejarían de ser válidas las transferencias de datos entre la Unión Europea y EEUU basadas en el marco de ese Acuerdo, por lo que numerosas empresas tendrían que cesar en su actividad, si ésta implicara la realización de tales transferencias. Es un escenario muy parecido al que se planteó hace poco más de dos años con la anulación del Safe Harbor por el TJUE, lo que causó numerosos problemas en los negocios transcontinentales.

Esta recomendación, si bien es enormemente preocupante, no resulta sorprendente. La propia sentencia del TJUE sobre el Safe Harbor ya contenía una argumentación que es perfectamente aplicable a la situación actual. En esencia, el TJUE decía que si no existen garantías de que el país de destino en una transferencia internacional respeta los principios y derechos fundamentales de los europeos en materia de protección de datos, tales transferencias no se pueden realizar a ese país. En aquella ocasión se hacía referencia a los accesos generalizados a datos de europeos que realizaban las agencias de investigación americanas, que se habían puesto de manifiesto en los documentos que salieron a la luz a raíz de la mega filtración de Snowden, posibilitando injerencias por parte de las autoridades públicas estadounidenses en los derechos fundamentales de las personas. En el documento que ha salido ahora del Parlamento, esta Institución europea hace referencia a casos recientes como el de Facebook y Cambridge Analytica, señalando que ambas compañías están registradas en el marco del Privacy Shield y ello no ha evitado el mal uso de los datos, de lo que se deduce que ese marco no es suficientemente protector de los derechos de los interesados, porque no permite que las obligaciones de supervisión y control se estén ejercitando de forma adecuada.

Pero no hace falta acudir a casos tan mediáticos para ver que el Privacy Shield ya estaba afectado por serios problemas desde casi sus comienzos. Podemos recordar que, ya en enero de 2017, el entonces recién nombrado Presidente Donald Trump, en la primera Orden Ejecutiva que firmó tras su toma de posesión como primer mandatario de los EEUU, bajo el título de “Aumento de la Seguridad Pública en el Interior de los EEUU” ya decía que “Las Agencias [estatales] deberán asegurar que sus políticas de privacidad excluyan de la protección de la Ley de Privacidad a personas que no sean ciudadanos de los EEUU o residentes legales permanentes en relación con los datos personales, en tanto sea posible de acuerdo con el derecho en vigor” (art. 14). Con esta declaración de intenciones resultaba patente que el contenido del Privacy Shield no casaba bien con tales principios, y algunos ya escribimos en aquel momento que el Privacy Shield estaba herido de muerte.

El documento del Parlamento que ha salido a la luz cita también como un punto de preocupación la reciente aprobación en EEUU de la “Clarifying Lawful Overseas Use of DataAct”, conocida como la “CLOUD Act”, que permite acceder a datos almacenados por empresas americanas cualquiera que sea la ubicación de sus servidores, evitando así la necesidad de acudir a mecanismos de colaboración internacional a través de tratados de cooperación judicial.

Se divisa, por tanto, nuevamente, un difícil horizonte para las transferencias internacionales entre Europa y EEUU. Es cierto que existen otros mecanismos para regularizar transferencias internacionales en el recientemente aplicable ReglamentoGeneral de Protección de Datos de la Unión Europea (RGPD), pero el marco del Privacy Shield era muy cómodo porque evita tener que firmar documentos específicos para cada transacción que se produzca entre partes, facilita el cumplimiento de la obligación de informar y supone un marco estable de transferencias. Veremos si el Parlamento adopta la propuesta de resolución del Comité de Libertades y, en tal caso, qué ocurre de aquí al 1 de septiembre. Dado el escenario político existente no parece que podamos ser demasiado optimistas.

Recta final para el Reglamento General de Protección de Datos

Recta final para el Reglamento General de Protección de Datos

(Artículo publicado en la revista EMPRESARIO de la CEOE, en su número 3 (Primavera 2018)


Puedes acceder a la edición impresa del artículo pinchando aquí.




Recta final para el RGPD

Se acaba el tiempo de las conjeturas, se acaba el tiempo de las cábalas, se acaba el tiempo de pensar en cómo lo hacemos, se acaba el tiempo. La fecha del 25 de mayo de 2018 está tan cercana que ya la vemos en la misma página del calendario que el día en el que estamos. Y sí, esa es la fecha, ese es el día en el que será obligatorio cumplir el Reglamento General de Protección de Datos de la Unión Europea (RGPD).

No hay prórrogas

¿Pero no hay prórrogas? ¿No falta una ley que aplique todo esto en España y que nos dé algo más de tiempo? No. Y también no. El RGPD es un tipo de norma europea que se caracteriza, precisamente, porque tiene aplicación directa en todos los estados miembros, con el mismo rango que las leyes emanadas de los parlamentos nacionales. Surten efectos plenos sin necesidad de que se dicten normas nacionales. Es más, un reglamento europeo relega la aplicación de cualquier norma nacional que contravenga lo dispuesto en él.

Reglamento descafeinado

Es este un caso, sin embargo, en que la complejidad jurídica, política e incluso sociológica de la materia, ha hecho que el RGPD sea un reglamento descafeinado en ciertos aspectos, porque el propio texto de la norma señala expresamente que determinados puntos muy concretos sean decididos de forma definitiva por los estados miembros. Y esa es la razón de que tenga que existir también una nueva ley nacional de protección de datos en cada uno de los estados miembros. Pero tenemos que ver esa ley nacional como un “anexo” al RGPD, y no como una norma de desarrollo o transposición. Lo que aplica es el RGPD y, completando el  esquema, la ley nacional. En España, por ese motivo, tendremos una nueva LOPD, que se llamará igual que la de 1999, pero el único parecido entre ambas normas es única y exclusivamente el nombre. Por cierto que la ley española todavía tardará algún tiempo en reflejarse en las páginas del BOE, porque su tramitación parlamentaria está en una fase todavía muy incipiente. Precisamente en estos días se han presentado las 369 enmiendas al proyecto de ley que se tramita en el Congreso de los Diputados.

De obligado cumplimiento

Bueno y, llegados aquí, ¿qué tengo que hacer? Cumplir. Unos cumplirán porque están convencidos de que el respeto de un derecho fundamental como la protección de datos personales es un valor en sí mismo. Otros cumplirán para evitar sanciones económicas potencialmente muy cuantiosas. Y otros, cada vez más, cumplirán porque el daño reputacional de no hacerlo es inasumible. Estamos viviendo episodios en estas semanas que son ejemplos de libro de cómo las cuestiones relacionadas con la protección (o desprotección) de los datos personales afecta a la reputación de una compañía. Y, no seamos ciegos, la reputación es, a fin de cuentas, el valor de la acción, pero no sólo de la compañía directamente afectada, sino de todas las que se le parecen o hacen cosas que, a vista del consumidor, pueden estar relacionadas. Es cierto que hay cierto componente de falsa ingenuidad en todo ello, pero así funciona el mercado, y me remito a la infinidad de estudios sociológicos que explican los vaivenes de las cotizaciones producidos como consecuencia, a veces, de hechos coyunturales que se producen en el momento oportuno y en el lugar adecuado.

Profesionales cualificados

Hay que cumplir el 25 de mayo de 2018, decía. Y cumplir una norma como el RGPD no es sencillo y conlleva costes. Me refiero a Cumplir, con mayúscula, no a disponer de un papel firmado por un desaprensivo a quien no le importa empujar a empresas al vacío de enormes riesgos con tal de conseguir unas monedas. Cumplir como es debido requiere conocimientos especializados que, en muchos sectores, implican la especial obligación de designar a un Delegado de Protección de Datos (DPD). El DPD es un profesional cualificado con experiencia y conocimientos profundos en materia de protección de datos cuyas funciones se resumen en asesorar y supervisar a la organización en esta materia. Nuevo campo de especialización profesional para miles de perfiles jurídico-técnicos.

Cambios significativos

Cumplir implica cambios significativos que van mucho, mucho más allá de simplemente adaptar unas cláusulas en un formulario. De hecho, las cláusulas son lo último en adaptarse, porque el contenido de la cláusula adaptada a RGPD requiere incorporar toda una serie de información y partir de unas decisiones que es preciso preparar y adoptar previamente.

Seamos realistas, adaptar una organización para cumplir el RGPD es un proceso que lleva meses. Es largo, costoso y complejo. Pero hay que hacerlo, y la buena noticia es que tiene premio. Por supuesto, el premio es no tener sanciones, mantener (o incluso aumentar) la reputación y tener la conciencia tranquila. Pero hay premio adicional, el bonus, el número complementario, el Jackpot. Ese premio es la activación del dato como valor en el negocio. Un tratamiento correcto de los datos, que cumpla la normativa y respete los derechos de los interesados se convierte, automáticamente, en un activo de la compañía sobre el que construir y cimentar negocios.

Cuenta atrás

No es una quimera ni un espejismo. Es una realidad y casi una necesidad encarar el tratamiento de datos personales como la gestión de un activo y no sólo como el control de un riesgo. Avanzar por la senda de la protección de los datos como la protección de un activo es un camino de futuro en cualquier compañía. Pero, por supuesto, esto sólo es posible si se cumple la norma. Estamos en la recta final. Se acaba el tiempo. El RGPD ya está aquí.

¿Verdadero o falso? Curiosidades de las enmiendas a la nueva LOPD.

¿Verdadero o falso? Curiosidades de las enmiendas a la nueva LOPD.

Entre las 369 enmiendas presentadas por los grupos parlamentarios al proyecto de Ley Orgánica de Protección de Datos se encuentran algunas curiosidades. He traído aquí algunas de ellas. Con este listado bien podría plantearse un concurso del tipo ¿verdadero o falso?

#EnmiendasLOPD ¿verdadero o falso?

Una enmienda propone que sea necesario el consentimiento del interesado para incluirlo en ficheros de morosos 😎

Algunas enmiendas al artículo 19 propone eliminar el interés legítimo como base para tratar datos de representantes de empresas, con el argumento de que puede ser demasiado invasivo para los derechos de los trabajadores (creo que no se ha entendido bien para qué está el artículo) 😳

Una enmienda propone una nueva Disposición Transitoria 7ª proponeindo que se realicen PIAs sólo de tratamientos posteriores al 25/5/2018 💃

En una enmienda se plantea incluir una nueva Disposición Final 4ª bis proponiendo medidas para evitar que se repita el asunto Cambridge Analytica, citando el caso expresamente, mediante una modificación de la Ley General Electoral y el uso de datos con fines de publicidad electoral 👮

Una enmienda de Ciudadanos propone sustituir todas las referencias a “datos personales” por “datos de carácter personal” y una enmienda del Grupo Socialista propone justo lo contrario, que las referencias a “datos de carácter personal” se sustituyan por “datos personales”.

Un enmienda que me alegra especialmente, porque es un asunto que planteé expresamente en mi comparecencia ante la Comisión de Justicia, propone añadir una nueva Disposición Adicional 18ª para que se puedan seguir aplicando en pymes las medidas de seguridad del RD 1720/2007, facilitando así la definición de medidas de seguridad organizativas y técnicas y aprovechando la ventaja que teníamos en España en esta materia con esa norma que desarrollaba la LOPD de 1999. La propone el Grupo Socialista.

Con el fin de atajar determinadas acciones comerciales que se venían produciendo ya en materia de LOPD, una enmienda propone que se considere como práctica comercial agresiva de las previstas Ley Competencia Desleal cualquier acción comercial de supuestos asesores que se hacen pasar por entidades vinculadas a la AEPD o que amenazan con denuncias por incumplimiento. Lo propone el Grupo Socialista añadiendo una nueva Disposición Adicional 20ª.

Los grupos Unidos Podemos, Ciudadanos y Socialista, proponen que el Presidente de AEPD sea nombrado por mayoría de tres quintos del Congreso de los Diputados.

Por pedir que no quede: unos grupos parlamentarios plantean que el procedimiento para la aprobación de BCRs se finalice en un máximo de 9 meses, pero otra enmienda va más allá y plantea que el plazo máximo no se demore más de 3 meses 😂

El grupo Ciudadanos y el grupo Socialista proponen eliminar el concepto de “bloqueo” y, por tanto, suprimir el artículo 32 del Proyecto de Ley. Muy adecuado el planteamiento, teniendo en cuenta que el objetivo que se pretendía con el bloqueo en la actual LOPD se consigue en el RGPD por otras vías como la limitación del tratamiento o la implementación de medidas de seguridad específicas para tratamientos limitados basados en interés legítmo 👏👏

Se proponen varias enmiendas al artículo 24 del Proyecto de Ley relativo a los canales internos de denuncias, pero la más agresiva es la del Grupo Unidos Podemos, que plantea directamente su eliminación #whistleblowing 👀

Sólo hay dos artículos que han recibido enmiendas de todos los Grupos Parlamentarios. Son el artículo 22, relativo a videovigilancia y el artículo 34 sobre el Delegado de Protección de Datos (DPD). La complicación está en que varias de las enmiendas presentadas van en direcciones diametralmente opuestas.

Una de las enmiendas más relevantes es el conjunto modificativo que plantea el Grupo Socialista, que modifica el nombre de la Ley e incluye un nuevo Título X que supone, realmente, incluir una nueva ley dentro de la propia LOPD. Así, la Ley pasaría a llamarse Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales, y el Título X contendría 15 nuevos artículos (79 al 93), regulando diversos aspectos de los derechos y obligaciones en materia de derechos digitales.

Las 369 enmiendas al Proyecto de LOPD

Las 369 enmiendas al Proyecto de LOPD:

Me he leído todas las enmiendas presentadas al Proyecto de LOPD y su motivación. No es que me guste torturarme, simplemente tenía curiosidad por ver el resultado de un proceso en el que he intervenido personalmente y al que le he tomado cierto cariño. Las enmiendas se pueden consultar aquí.

En otra ocasión quizá escriba sobre cuestiones más técnicas que se derivan de las enmiendas, pero aquí sólo quiero hacer un examen puramente estadístico. Son 369 enmiendas, aunque de verdad, de verdad, son sólo 314, y después cuento el secreto de esta reducción.

El Grupo Socialista presenta 93 enmiendas, y además le cambia el nombre a la Ley e introduce un nuevo Título X, que realmente es una ley dentro de otra ley: Garantía de los Derechos Digitales.

El PDCat se coloca en segundo lugar con 85 enmiendas, unas 15 de ellas referidas a cuestiones de competencias de la autoridad autonómica de protección de datos. Resulta curioso observar que se han unido a Unidos Podemos proponiendo que para incluir a un moroso en un fichero de solvencia sea necesario contar con el consentimiento del moroso…
En tercer lugar tendríamos a ERC, pero ojo, no sé si pasará el control anti-doping… más abajo me explico. Por supuesto, cuestiones de competencias de las autoridades autonómicas. En cuarto lugar se sitúa el PNV, con 37 enmiendas, de las cuales 11 se refieren a cuestiones de competencias autonómicas.

Muy cerca se coloca el Grupo Popular, con un sorprendente paquete de 31 enmiendas. Sorprendente dado que el proyecto de Ley ha sido presentado por el Gobierno. De todas formas, muchas de ellas son cuestiones cosméticas y mejoras técnicas, especialmente en lo que se refiere a la tramitación de expedientes por parte de la autoridad de control.

 

Casi con un empate, el Grupo de Unidos Podemos formula 30 enmiendas. Entre ellas, proponen la eliminación de los canales internos de denuncia (“whistleblowing”) o el establecimiento de un umbral mínimo de 300€ para poder notificar una deuda a un fichero de solvencia.

En última posición (antes del control final) se sitúa Ciudadanos, que ha presentado 27 enmiendas, siendo de resaltar la solicitud de que el presidente de la AEPD sea nombrado por el Congreso de los Diputados con una mayoría de 3/5, algo en lo que coinciden Unidos Podemos y el Grupo Socialista.

Desvelemos ya el misterio. ¿Por qué son 314 enmiendas y no 369? Pues porque, una vez leídas todas, y llevado quizá por mi vertiente docente, he podido comprobar que hay 55 enmiendas copiadas. Literalmente copiadas. No sé quién ha copiado a quién, pero sí puedo decir que en las enmiendas de ERC hay 51 que son literalmente la misma que otras tantas de PDCat y 3 que son la misma que 3 de Unidos Podemos. O uno se ha copiado del otro, o el otro del uno, o los dos de un tercero. Da qué pensar sobre el proceso.

Cómo echo de menos que mi huella dactilar no funcione (¿?)

Cómo echo de menos que mi huella dactilar no funcione (¿?)

Ayer llegué temprano (concepto jurídico indeterminado) a la estación de Cercanías, con 3 minutos de antelación al próximo tren, que me dejaría al lado de la oficina exactamente con el tiempo suficiente de llegar a mi primera reunión del día con cierta holgura. De pronto, cuando acerqué mi mano al bolsillo donde llevo las tarjetas, ese conocido sentimiento de hundimiento instantáneo se apoderó de mí. Allí donde debía haber un bulto cuadrado conteniendo parte de mi vida diaria (tarjeta de transporte, tarjeta para acceder a la oficina, tarjeta del cajero, tarjeta del colegio de abogados, tarjeta de salud, tarjeta de puntos de Iberia, sello del Rey Juan Carlos que desde hace años tengo que sacar para guardar en un sitio que no lo pierda, tarjeta de ¿y para qué llevo esta tarjeta aquí si hace años que no la uso?...) en fin, todo eso que resulta esencial en mi día a día y tenía que estar allí bajo mi mano, no había nada. Tras palpar un par de veces con atención, como atravesando la fase de negación que forma parte de cualquier duelo, me hice a la idea y pasé a la fase de aceptación (como veréis, premature). Sí, no estaba allí. Debo reconocer que no era un sentimiento nuevo, hace dos semanas me pasó lo mismo. Mi mente inmediatamente repasó en 3 segundos el horror de las próximas horas: si vuelvo a casa a por las tarjetas y regreso a la estación no llego a la reunión. Si vuelvo a casa y me voy directamente en coche a la oficina no llego a la reunión. Sólo me queda una opción, irme directamente a la reunión, y no pensaré demasiado, al menos de momento, en que no tengo con qué pagar el parking, y confiar en que el depósito que está marcando ya la reserva desde ayer se estire un poco y no me deje tirado en plena carretera, al menos en el trayecto de ida!

Sé lo que estás pensando, ¿no llevas nada en metálico, ni siquiera para el tren? Te respondo claramente: no, normalmente no llevo ni para un café. Acabo de decir que mi vida está en eso que no llevaba.

He dicho bien, el sentimiento no era nuevo. Pero esta vez, por algún motivo, me enfadé. Fase de ira, que me había saltado antes (no siempre las fases del duelo se presentan ordenadas, pero sí hay que pasarlas todas). Me enfadé enormemente. Y me enfadé por no tener un acceso a mi cuenta bancaria vinculado a mi huella dactilar. ¿Por qué? ¿Por qué no tengo activada mi huella dactilar para acceder al tren de Cercanías? ¿Por qué no puedo pagar un mísero billete de tren con mi huella dactilar? ¿Por qué no puedo llegar a la gasolinera y llenar el depósito y simplemente irme porque mi huella ha pagado automáticamente mientras sujetaba el surtidor con la mano? ¿Por qué no tengo una tarjeta de acceso al parking en mi dedo, y el acceso a la oficina también? ¿Por qué no tengo la tarjeta de puntos del supermercado asociada a mi huella dactilar?

Bueno, reconozco que mi enfado comenzaba a rozar extremos que no podía controlar (¿dónde pondría el sello de Juan Carlos si tuviera la huella dactilar activada?), pero mi yo más profundo tomó una determinación. No escatimaré en esfuerzos hasta conseguir recuperar el funcionamiento de mi huella dactilar. Bueno, hasta conseguir que funcione algún día, pero me sentía como si hubiera funcionado siempre y se me hubiera desactivado.

Cuando me calmé y entré en razón, en la fase definitiva de negociación (desordenada, lo sé), me prometí a mí mismo no volver a dejarme el tarjetero en casa.

Mi comparecencia ante la Comisión de Justicia del Congreso de los Diputados en relación con la tramitación de la nueva Ley Orgánica de Protección de Datos.

Mi comparecencia ante la Comisión de Justicia del Congreso de los Diputados en relación con la tramitación de la nueva Ley Orgánica de Protección de Datos.

Ha sido un verdadero honor para mí haber podido participar como compareciente ante la Comisión de Justicia del Congreso de los Diputados en este importantísimo trámite de creación legislativa. Una norma como la Ley Orgánica de Protección de Datos en el marco del Reglamento General de Protección de Datos de la Unión Europea (RGPD) es un hito legislativo sin precedentes en los últimos 20 años, y como abogado especializado en la materia resulta enormemente gratificante haber podido aportar mi granito de arena.

Mi intención era doble: por una parte, trasladar al legislador la necesidad de que la regulación en materia de protección de datos no pierda de vista la realidad existente actualmente, y es que los datos personales no son sólo un derecho fundamental, sino también un activo con valor económico que es una fuente de ingresos en la economía digital.

Por otra parte, quería explicarle a los Señores Diputados cuáles son los problemas prácticos que nos estamos encontrando en los procesos de adaptación de diversas empresas al RGPD. Problemas y dudas y situaciones que surgen cuando es necesario implementar determinadas obligaciones o soluciones, y que son fruto de que la práctica diraria en los negocios se había adecuado a una forma diferente de hacer las cosas. El objetivo era tratar de que algunas de esos problemas se puedan resolver con la redacción que se dé a la LOPD en algunos aspectos.

Por último, y como consecuencia de ambos enfoques, he querido plantear al Congreso que España tiene una oportunidad única en este momento para convertirse en un polo de atracción de inversiones para negocios digitales y desarrollos tecnológicos relacionados con los datos, pero ello sólo será posible si la regulación se limita a desarrollar lo que el RGPD permite y facilitar aquellas otras cuestiones que puedan caber dentro de los márgenes de esa potestad, en lugar de aumentar la incertidumbre y la dificultad de cumplimiento introduciendo exceso de burocracia innecesaria o reiterando conceptos jurídicos indeterminados.

Adicionalmente, planteé la conveniencia de introducir un esquema de "sand box" para nuevos avances tecnológicos, de forma que los desarrolladores de productos y servicios innovadores basados en datos vean en España un lugar amigo, un territorio favorable a la innovación y el desarrollo tecnológico, pero sin que ello implique renuncia a la protección del derecho fundamental a la protección de datos, algo de lo que en España podemos presumir desde hace mucho tiempo.

El video de la comparecencia se puede ver aquí:

https://app.congreso.es/v/12617858

Nota de prensa sobre la comparecencia aquí:

http://www.garrigues.com/es_ES/noticia/alejandro-padin-espana-tiene-la-oportunidad-de-situarse-en-primera-linea-en-el-mercado-de

Artículo sobre juguetes conectados y “smart toys”

Hoy se ha publicado en el periódico jurídico digital www.elderecho.com un artículo sobre la problemática jurídica de los juguetes conectados y, en particular, en relación con la privacidad y la seguridad de la información recabada por estos juguetes. En el artículo se tratan algunos de los aspectos más delicados de la cuestión y se recogen opiniones de diversos profesionales sobre la materia. Me alegra haber aportado mi granito de arena.

Puedes acceder al artículo pinchando aquí.

Hoy, 5 de enero, es el día perfecto para leer este artículo, especialmente dedicado a sus Majestades de Oriente 👑 👑 👑