El pasado 5 de diciembre de 2018 se publicó en el Boletín Oficial del Estado (BOE) la nueva Ley Orgánica de Protección de Datos. En este caso, la normativa aterrizó acompañada por un apellido compuesto un tanto sorprendente como era el de Garantía de los Derechos Digitales, que ampliaba el abanico de cobertura legal de los ciudadanos.
Este esperado texto, que ahora cumple su primer año de vida, recibió el visto bueno de Las Cortes con cierto retraso, puesto que la norma europea que desarrolla y complementa -el reglamento general de protección de datos (RGPD)- había empezado a aplicarse seis meses antes, el 25 de mayo de ese mismo año 2018.
Frente a esta efeméride, Daniel Chóliz, abogado director de IP & IT de Deloitte Legal, indica que al igual que la puesta en marcha del RGPD hizo bastante ruido, la LOPD ha pasado bastante desapercibida. "Todavía muchas empresas no han ajustado sus políticas y procedimientos de privacidad y textos legales a las cuestiones adicionales que introdujo la Ley de Protección de Datos. De hecho, por ejemplo, en Google o Wikipedia el primer resultado de la búsqueda todavía sigue siendo la Ley de Protección de Datos anterior, de 1999", destaca el letrado.
Frente a esta realidad, y un año después del inicio de su aplicación, el experto de Deloitte Legal reflexiona sobre diferentes asuntos para entender mejor la importancia de esta norma, su capacidad de influencia y su recorrido real.
¿CUÁLES SON LOS PRINCIPALES CAMBIOS QUE PLANTEÓ LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS Y GARANTÍA DE DERECHOS DIGITALES?
En un primer momento esta norma llamó la atención de la opinión pública, probablemente, porque se atrevió a regular cuestiones como el posible envío de publicidad electoral o el derecho a la desconexión digital en el ámbito laboral.
Sin embargo, la opinión pública pasó por alto cuestiones jurídicamente bastante más relevantes como la oficialización del sistema de doble capa en las cláusulas informativas (que el RGPD no contempla y que habría sido de mucha utilidad para las empresas de haberla conocido antes); la extraña regulación de los canales de denuncias en los programas de compliance; o la regulación de la obligación de bloqueo antes del borrado de los datos, que tampoco abordaba expresamente el reglamento general de protección de datos.
¿HA CAMBIADO EL MODO DE ACTUACIÓN DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (AEPD) CON ESTA NORMA EN LA MANO?
En este primer año de vida de la LOPD hemos visto cómo la AEPD ha elevado en cierto modo la severidad de sus actuaciones. Frente a unos primeros meses de apercibimientos y actuaciones más bien pedagógicas, en los últimos meses ha aumentado ostensiblemente el número de sanciones por incumplimientos. Por poner algunos ejemplos, una sanción de 250.000 euros por la app de LaLiga, que fue de las primeras, o las más recientes en relación con la utilización de cookies.
A nivel europeo, las autoridades nacionales de control quizás no han sido tan pacientes y, de momento, permisivas, puesto que en otros países no tardó en haber sanciones tan relevantes como la impuesta a Google en Francia, por un valor de 50 millones de euros, o la aplicada a British Airways en Reino Unido, que alcanzó los 183 millones de libras (215 millones de euros).
¿CUÁL SERÁ EL SIGUIENTE PASO PARA PROTEGER LA PRIVACIDAD DE LA INFORMACIÓN DE LOS USUARIOS?
La ley vino a completar la regulación legal en España de la protección de datos personales. Pero a día de hoy, esa misma regulación no es del todo completa. Pese al tiempo transcurrido, seguimos sin tener el tan ansiado nuevo reglamento de ePrivacy, norma que, entre otras cuestiones, regulará un asunto tan importante como es el correcto uso de las cookies en las páginas web. Será una norma de gran importancia, puesto que nuestra navegación por Internet es uno de los entornos y sistemas de captación de información más intrusivo y peligroso para nuestra privacidad e intimidad.
No obstante, es cierto que hace apenas unos días la Agencia Española de Protección de Datos publicó la, también muy esperada, Guía sobre el uso de las cookies, herramienta que aun teniendo en teoría un carácter divulgativo, sí sirve para conocer sus criterios interpretativos en esta materia y, se supone también, irá en línea con lo que finalmente diga el reglamento ePrivacy.
LA APROBACIÓN DE NORMATIVA DE PROTECCIÓN DE DATOS. ¿HA SIDO SUFICIENTE PARA CUBRIR EL CONJUNTO DE DERECHOS Y OBLIGACIONES DE LOS USUARIOS?
Lo cierto es que la realidad avanza de forma vertiginosa y si la imaginación e inteligencia humana apenas tienen límites -y no digamos ya la inteligencia digital y artificial-, todavía menos a la hora de recopilar, analizar y explotar nuestros datos personales (el petróleo del siglo XXI, se suele decir). Por poner un ejemplo, en estos días se ha sabido que el Instituto Nacional de Estadística ha analizado -a través de nuestro teléfono móvil y gracias a la interesada colaboración de los tres principales operadores de telefonía- nuestra ubicación en determinados días del año.
Sin duda es una buena oportunidad para reflexionar sobre la verdadera vigencia de alguno de los principios básicos del RGPD: la necesidad de que todos, sector público incluido, traten datos personales de manera proporcionada y justificada y, ante situaciones de especial riesgo para nuestra privacidad e intimidad, como puede ser esta, que el responsable prevea las medidas de seguridad, garantías y mecanismos necesarios para garantizar realmente la protección de nuestros datos personales.
Por buscarle un lado positivo, la repercusión que ha tenido esta noticia bien puede servir para que seamos plenamente conscientes de los privilegios que cedemos a terceros para conocer nuestra información personal: en este caso, con nuestra geolocalización.
Periódico Digital Expansión