Un Eurobarómetro publicado por la Comisión Europea (CE) a mediados de 2011 muestra que el 62% de los ciudadanos de la UE no confía en que las compañías de Internet (buscadores, redes sociales o servicios de correo electrónico) protejan adecuadamente sus datos de carácter personal. En España, el porcentaje de desconfianza es idéntico, con la única diferencia de que sólo un 18% de los residentes en nuestro país piensa que estas empresas guardarán de forma fiable sus datos (en Europa llegan al 22%). ¿Por qué tienen esta opinión los usuarios, cuando la legislación europea, y la española en particular, son tan exigentes en la protección de los datos? Para Leopoldo Mallo, director general de Alcatraz-LOPDGest, esta opinión proviene “del desconocimiento de la normativa y del uso inadecuado de los datos, ya sea porque se solicita información innecesaria o porque no se explica correctamente a los interesados”. En cualquiera de los dos casos, Viviane Reding, vicepresidenta de la CE y comisaria de Juticia, Derechos Fundamentales y Ciudadanía, quiere dar un vuelco a la legislación comunitaria sobre la materia, que data de 1995 (Directiva 95/46/EC), para adaptarla a los nuevos tiempos de las redes sociales y el cloud computing.
Reding presentó en enero un proyecto legislativo que tiene dos objetivos fundamentales. Por un lado, unificar la regulación del derecho a la protección de los datos personales en todos los países de la Unión. En la actualidad, la directiva de 1995 sobre esta materia se ha transpuesto en cada país de diversas formas, por lo que las empresas y usuarios se encuentran con que los requisitos y obligaciones son diferentes según el Estado en que se hallen residiendo o se localicen sus datos. Con esta medida de homogeneización, la CE pretende conseguir un ahorro de 2.300 millones de euros anuales en costes para las empresas. Los burócratas europeos esperan que unas directrices legales comunes también exciten la inversión en nuevas tecnologías en el continente. Además, la normativa eliminará las formalidades de comunicación que las compañías deben cumplir hasta ahora, lo que supondrá otro ahorro de 130 millones de euros al año.
El segundo objetivo que persigue la nueva legislación es conseguir una mejora en la protección de los datos personales, creando exigencias y actualizando figuras pensadas para el mundo de Internet. El proyecto de Reding también tendrá que hacer frente al problema de que muchos de los datos cedidos por ciudadanos europeos se encuentren en países fuera de la UE.
Aún no se sabe qué forma adoptará la nueva legislación: a través de directiva, que deberá ser integrada por cada país en su ordenamiento jurídico a través de sus propios procesos legislativos; o reglamento, que es de aplicación inmediata, sin necesidad de trámites en cada estado. Los expertos prefieren la segunda opción, pero dependerá de la profundidad de la reforma. A esto se suma que la rapidez no es una virtud en el entramado burocrático de la UE, por lo que las nuevas normas pueden tardar entre uno y dos años en ver la luz. Además, la propuesta de la CE deberá pasar el filtro de varias comisiones que retocarán, agregarán o eliminarán los preceptos del borrador inicial. De momento, Eva Vennemann, directora de comunicación del proveedor alemán de hosting 1&1, echa en falta “una aclaración sobre el concepto clave: datos personales”.
Y es que el borrador de Reding explica que el dato personal es cualquier información relacionada con una persona y que tiene que ver con su vida privada, profesional o pública. Como se ve, la definición es tan genérica que cabe casi cualquier tipo de dato: un nombre, una foto, una dirección de email, detalles bancarios, publicaciones en blogs o redes sociales, información médica o una dirección IP. Delimitar con concreción qué informaciones abarca el derecho será importante para las dos partes de la ecuación, empresas y ciudadanos, porque sabrán a lo que atenerse y qué pueden esperar y demandar. Es decir, aumentará la seguridad jurídica. ¿Qué novedades trae la legislación? Uno de los aspectos más relevantes será el de las sanciones a las empresas, que pueden llegar hasta el millón de euros o un 2% de la facturación mundial de una compañía. Además, las empresas con más de 250 empleados y las administraciones públicas estarán obligadas a contar con una persona que supervisará el cumplimiento de la legislación en materia de protección de datos (data protection officer). También se impondrán mayores obligaciones a los responsables de los ficheros en lo que se refiere a información a los interesados sobre el tratamiento de sus datos.
Asimismo, los negocios se verán obligados a comunicar las violaciones y brechas de seguridad que se produzcan en sus sistemas en las 24 horas siguientes al suceso. También se simplifican otros trámites: las firmas ya no tendrán que comunicar la creación de ficheros de datos y todo el control del cumplimiento de la normativa se realizará por una autoridad en cada estado. Es decir, las empresas sólo tendrán un organismo al que dirigirse en cada país. Francisco Javier Carbayo, asociado senior y gerente del área de Gobierno, Riesgos y Cumplimiento del despacho de abogados Écija, destaca “el significativo impacto que supondrán [estas medidas] en la empresas, sobre todo en las de mediano y gran tamaño, y las consecuencia de profundo cambio que tendrán en los modelos actuales de gestión de cumplimiento de la normativa”.
Además de las novedades que afectarán al día a día de las empresas que gestionen los datos de sus clientes, las personas físicas también se verán concernidas por dos derechos muy concretos. El primero de ellos es el establecimiento del régimen de privacidad por defecto. Leopoldo Mallo sostiene que de esta manera “la contratación de cualquier servicio conllevará las opciones de privacidad activadas desde el principio en lugar de que deba configurarlas el propio interesado”. En este caso, la CE está pensando en las redes sociales. Por ejemplo, Facebook hace visibles ciertos datos a todas las personas que pululan por Internet. Es el usuario quien debe ocultarlos si no desea que los mismos sean de carácter público. Con la nueva regulación, la opción por defecto será la privacidad total y el usuario deberá especificar concretamente qué información desea mostrar. El otro derecho que dará mucho que hablar hasta que se perfile definitivamente es el que se ha denominado “del olvido”. La propuesta de la CE asegura que los interesados podrán borrar sus datos si no hay motivos legítimos para que una tercera parte los retenga. La idea es que esta eliminación sea total y no quede rastro de los mismos. En la sociedad digital en la que vivimos, ¿esto es posible? Mallo explica que “la mejor manera de garantizar la efectividad del derecho es que el responsable del fichero adopte las medidas necesarias para evitar la indexación de la información a través de sus sitios web”. Es decir, impedir que los buscadores como Google indexen en sus bases de datos las páginas con las referencias personales, ya que a la hora de eliminarlos habría que investigar en qué otros servidores se encuentran. Por su lado, José Manuel Armada, director de Ingeniería de Clientes de Interoute, afirma que “es posible que la destrucción de los registros no tenga una respuesta inmediata porque haya que hacerlo de forma manual”.
Francisco Javier Carbayo los analiza desde otro punto de vista y explica que, desde la perspectiva del ciudadano, esta prerrogativa “no se puede traducir en una capacidad de tener una goma de borrar virtual”, sino en una “forma de control para decidir qué subo o dejo que suban a Internet, cuándo y durante cuánto tiempo”. Carbayo también se refiere a la tecnología y cree que la misma todavía no está preparada para “identificar todos los datos de una persona que pueden circular por Internet para darle la posibilidad de tomar el control de su uso”.
El otro desafío que tendrá que enfrentar la directiva será el de los datos almacenados en países externos a la Unión Europea. El caso es más habitual de lo que se piensa. Volvemos otra vez a Facebook (que dispone de más de 800 millones de usuarios): en la cláusula 16 de la página con las condiciones de prestación del servicio especifica que el usuario da permiso para transferir sus datos a los EEUU. ¿Alguien se toma la molestia de leer estas prescripciones? La legislación que quiere aprobar la CE prevé la aplicación de las obligaciones y derechos a las empresas que operen en Europa, aunque sean extranjeras, y a aquellas que, sin estar constituidas en el continente, gestionen datos de ciudadanos europeos. El experto de Écija explica que “no estamos en la situación ideal y quedan importantes elementos de fricción”, aunque “Europa lidera la defensa de los derechos de los ciudadanos interesados, cuyos datos son objeto de esta circulación global”. La relación con EEUU no será el único inconveniente, ya que los países asiáticos también son pujantes como destinos de muchos de los datos, por ejemplo el gigante Chino.
Por su lado, Eva Vennemann sostiene que la aplicación de la normativa a proveedores no europeos “aumentará el nivel de protección para el usuario y se reforzarán las oportunidades competitivas de la economía de Internet en Europa”. Hasta ahora las compañías externas a la UE se amparan en los acuerdos “safe harbor”. Se trata de convenios en los que el proveedor no europeo “se apoya en un nivel de protección equivalente en el extranjero” a las normas que rigen en la UE. Vennemann se hace la pregunta clave: ¿quién controla la equivalencia del nivel de protección y cómo? Por eso, la directora de comunicación de 1&1 ve con buenos ojos la imposición de la legislación europea a quien opere con datos de ciudadanos europeos. No obstante, la ejecutiva de la compañía alemana explica que el borrador de la nueva legislación aún es muy impreciso en este campo. Como en tantos otros que se deberán precisar en el próximo año.