Jornada sobre el Reglamento Europeo de Protección de Datos
Ayer se celebró en Madrid una interesante jornada sobre el futuro Reglamento de Protección de Datos de la Unión Europea. Organizada por la Agencia de Protección de Datos de la Comunidad de Madrid, la jornada fue inaugurada por el Viceconsejero de Presidencia e Interior de la CAM que nos habló, entre otras cosas, del cumplimiento por España de los criterios de entrada en el euro.
José Luis Piñar, antiguo Director de la Agencia Española de Protección de Datos, repasó las principales novedades en relación, fundamentalmente, con los principios de protección de datos. Piñar trató muchos temas, de los que destacaré sólo algunos.
En primer lugar, una previsión interesante y que dará mucho que hablar: el artículo 80 del Reglamento permite que los estados miembros establezcan excepciones en relación con los principios y derechos al objeto de equilibrar el derecho a la protección de datos con las reglas relativas a la libertad de expresión. En realidad es una remisión a las normas que establezcan los estados miembros. A este respecto, hay que traer a colación una reciente sentencia de la Audiencia Nacional del pasado 11 de abril, que revocó una resolución de la AEPD, entendiendo que la publicación de determinados datos en una página web estaba amparada por la libertad de expresión.
Piñar destacó el cambio sustancial en la definición de consentimiento, que exige que el consentimiento sea libre, informado y explícito. Contó que la Comisaria Reding ha dicho recientemente que “permanecer en silencio no es consentimiento”, con lo que no habría lugar al consentimiento tácito. Estaría bien decirle a la Comisaria que una cosa es la modalidad de consentimiento que acepte una norma, otra cosa es lo que ella opine, y otra es la realidad. El consentimiento tácito, el presunto y el expreso son formas de manifestar la voluntad perfectamente válidas a priori. Eso no obsta para que una norma exija un consentimiento expreso, pero eso no quita que “permanecer en silencio” no pueda suponer consentimiento. En cualquier caso, me parece un atraso que no se acepte ninguna modalidad de consentimiento que no sea el expreso, al menos para la generalidad de los tratamientos.
En relación al derecho al olvido, regulado en el artículo 17 del Reglamento, el exdirector de la AEPD hizo ver que no se entra al ámbito de aplicación sino a cómo se ejercita el derecho al olvido. Según Piñar, el mecanismo del art. 17.2 no exige al buscador que cancele datos, sino que obliga al responsable a comunicar que el interesado ha ejercido el derecho de cancelación. Es decir, el derecho al olvido no se exige que sea atendido por el buscador sino por el responsable de hacer públicos esos datos.
También mencionó las continuas referencias al “accountability” presentes en el texto y la obligación de notificar las brechas de seguridad (artículo 32).
El presidente de la Asociación Profesional Española de Privacidad, Ricard Martínez, analizó también un buen número de cuestiones. Considera Martínez que el Reglamento, por cómo está desarrollado y las obligaciones que impone, romperá con las adecuaciones legales de “copiar y pegar” o el “cumplimiento epidérmico”. No soy tan optimista como él, pero nada me gustaría más que equivocarme.
En cuanto al consentimiento, destacó una excepción importante que se contiene en el texto del Reglamento: el consentimiento no constituirá base jurídica para el tratamiento cuando exista un desequilibro claro entre la posición del interesado y el responsable del tratamiento. Veremos como se interpreta este concepto jurídico indeterminado, pero es cierto que puede tener importantes consecuencias prácticas.
Hizo hincapié precisamente en que hay muchos conceptos jurídicos indeterminados que tendrán que ser aclarados bien por la Comisión, a través de actos delegados, bien por las autoridades de control. Por ejemplo, la obligación de documentación del artículo 28, que recuerda a la obligación de inscripción del fichero, pero a nivel interno, no se aplica para empresas de menos de 250 empleados cuando el tratamiento de datos sea una actividad “accesoria”.
La jornada se completó con las intervenciones de la profesora Diana Sancho, que trató sobre los problemas de Ley aplicable y transferencias internacionales de datos; Leonardo Cervera, Secretario General del SEPD, que comentó entre otras cuestiones, los hechos que han motivado la preparación de este texto; y Antoni Bosch, que disertó sobre seguridad de la información.
Lo que queda claro es que al Reglamento (hay que recordar que estamos tratando simplemente sobre un borrador) le queda un largo recorrido y veremos si se aprueba con el contenido actual o sufre modificaciones (bastante probables). Por otro lado, la cantidad de conceptos jurídicos indeterminados y las continuas remisiones a decisiones del Consejo que se contienen en su texto hace que tendremos que estar muchos años con incertidumbre sobre un número importante de cuestiones: es probable que estas incertidumbres persistan hasta que un nuevo Reglamento deba ser aprobado.
Sólo me queda felicitar a la Agencia de Protección de Datos de la Comunidad de Madrid por la organización de la Jornada.
Otros resúmenes de la jornada, por Javier Sempere y Luis Salvador.
¿Qué diferencia hay entre un consentimiento explícito y el consentimiento expreso? Si, como dices en el artículo, ahora la norma exige un consentimiento “libre, informado y explícito”, parece que está eliminando (tácitamente) la validez del consentimiento tácito, ¿no?
Por generar debate, nada más.
@Carlos S.
Hola, ese es el tema, que se quiere eliminar el consentimiento tácito. Lo del “consentimiento libre, informado y explícito” es lo que dice el Proyecto de Reglamento, no es lo actual, ni en la LOPD ni en la Directiva se exige que el consentimiento sea expreso (salvo algunos casos).
Gracias por comentar, Carlos S.