Por Pol Rubio.
Traducido por Irene Belanche
Víctor Roselló, cofundador de Esfera Legal y abogado con certificación de la International Association of Privacy Professionals, ha tenido el detalle de conceder una entrevista a El Jurista, enmarcada en el auge de la necesidad de protección de datos en un sistema que no olvida y que las hace visibles: Internet.
Con un poco de retraso por las complicaciones con las líneas de ferrocarril de un servidor, empezó la reunión.
Pues había un borrador de la Comisión Europea de 25 de enero de 2012 que prometía mucho, pero parece ser que los intereses económicos de grandes lobbies de empresas tecnológicas, especialmente extranjeras, lo limitarán notablemente. La legislatura al Parlamento Europeo acaba en mayo y aún se tiene que votar, teniendo en cuenta que hay más de 4.000 enmiendas presentadas, pero se espera poco.
¿De dónde viene y por qué estas presiones?
Principalmente de compañías como Facebook y Google, a las cuales el reglamento pretende que, como prestan servicios a Europa, se les aplique la ley comunitaria, aunque su sede esté en los EUA (hasta ahora no era así). Y porque se han realizado informes, como el de la Information Commissioner’s Office del Regne Unit, que estiman que los cambios que deben realizarse para adaptarse costarían muchos millones de euros al conjunto de las empresas afectadas.
¿En qué consiste la novedad respecto a las comunicaciones de incidencias?
Hasta ahora el responsable del fichero tenía la obligación de registro interno de las incidencias, y solamente las empresas de telecomunicaciones, por su relevancia en el mercado, debían notificarlas a la Agencia Española de Protección de Datos (AEPD). La propuesta pasa por todo tipo de responsables, independientemente del servicio que ofrezcan, hayan de notificar las incidencias que afecten o pongan en riesgo datos personales a la AEPD y, incluso, en determinados casos deban hacerlo también los afectados.
Una acción en la línea de la transparencia, me gusta. ¿Pero esta parece que saldrá adelante o se quedará fuera del resultado final?
Afortunadamente parece que sí. Las tres versiones presentadas por la Comisión, el Parlamento y el Consejo Europeo no ponen en duda este nuevo deber. El debate real, más bien, se encuentra en el plazo para notificar, entre 24 y 72 horas, y en qué casos se debe notificar a los afectados y en cuáles no.
Hablemos ahora de las certificaciones por los profesionales que ofrecen servicios de protección de datos, ya que vivimos en un momento en el que cada vez es más necesaria y demandada la especialización.
Sin duda. Estoy muy a favor. Todo abogado que se dedica a un sector tan concreto debería tener algo para acreditar su conocimiento sobre el tema, y no deja de ser una garantía de calidad. Así se acabaría con la practica poco rigurosa de empresas no especializadas y multiusos, que hoy en día te hacen la gestión en base a la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades (LOPD), y mañana se encargan del blanqueo de capitales. Y, a título personal, creo que deberían ser a nivel europeo, ya que la visión no se puede limitar al panorama nacional en un contexto global.
Sobre un litigio internacional me toca ahora preguntarte tu opinión: las Conclusions de l’Advocat General de la Unió Europea Nilo Jääskinen en l’assumpte C-131/12, Google vs. l’AEPD, de 25 de juny de 2013.
El del famoso dret a l’oblit, interesante. La postura del Abogado General me parece totalmente coherente y sensata con la regulación que hay hoy en día, a la espera de que se apruebe el nuevo reglamento y satisfaga las pretensiones sociales “ley en mano”. De hecho tengo una anécdota al respecto. Para mí, lo más relevante de estas conclusiones ha sido que hayan reconocido que Google debe someterse a la ley europea.
Pues ya tardas en explicar la anécdota (risas).
Resulta que denuncié a una empresa por un tema de protección de datos y la AEPD la publicó sin notificármelo con un sensible error: mi nombre salía en el cuadro de denunciado y no en el de denunciante. Toda esta información vía BOE fue indexada, como no, por Google. Me puse en contacto con la AEPD cuando me enteré, y posteriormente publicaron una rectificación, pero el daño que me hizo es incalculable.
Y más teniendo en cuenta que eres un profesional que se dedica a esto.
Sobretodo y precisamente por esto. Pero bueno, nunca he hecho mala sangre del asunto.
A veces es lo mejor. Cambiando de tema y yendo a los documentos ARCO, ¿se utilizan?
No (rotundo). Todos nos quejamos en el bar, pero cuando sabemos que tenemos que hacer tantos trámites, a la mayoría se les olvida.
Bien, has confirmado el tópico de que pecamos de perezosos (risas). ¿Hay alguna acción más sencilla que ejercer el derecho de oposición al tratamiento con fines publicitarios por el habitual caso de SPAM vía mail?
Apuntarse a las listas Robinson, un servicio de exclusión publicitaria gestionado por la Asociación Española de la Economía Digital y por el cual las empresas están obligadas a consultar antes de iniciar campañas publicitarias. Actualmente hay más de 200.000 personas registradas.
Mi percepción es de desconocimiento generalizado respecto a los documentos ARCO. Porque no me imagino a muchos dependiente de tiendas de ropa que tengan claro qué son y que se les pueden solicitar estos documentos. ¿La corroboras también?
Correcto, tanto los consumidores como las empresas tienen poca idea. De hecho, en el caso de las pequeñas empresas se suman las pocas ganas de conocer. Una de las respuestas que más me dan es: “yo sólo tengo los nombres y la LOPD no se me aplica”. Y al final, la única forma de entrar a regular este tema es cuando palpan el riesgo, por ejemplo cuando sancionan a la tienda de al lado. La mayoría optan por mostrarse pasivas sobre el tema (“si me pillan ya me pillarán”) porque, aun siendo conscientes que con tan solo una sanción pueden verse obligadas a cerrar, no acostumbra a haber reclamaciones de particulares, con la correspondiente denuncia y todo lo demás. Una ligera pero importante mejor sería la previsión del nuevo reglamento de proporcionalidad de las sanciones, a partir de los beneficios brutos de aquel año. Porque, en definitiva, las empresas más penalizadas son las de telecomunicaciones y financieras, y para éstas hacerse cargo de 300.000 euros rara vez les supone un problema. Y a quienes las sanciones hunden son a las PIMES, que tienen cuatro correos para enviar publicidad de las rebajas una vez al año.
¿Algún consejo a las empresas para evitar que lleguen a este punto?
Sencillamente que tengan los modelos disponibles en la web y que los responsables tengan claros los procedimientos y los plazos. Y que sean conscientes de que, si tienen datos que permiten identificar a personas, deben gestionarlos siguiendo la LOPD.
El último tema que quería que tocásemos es el de la cookies. Si las introduces brevemente creo que nos harás un favor a muchos (risas).
Ningún problema. Las cookies son pequeños archivos que insertan en nuestro equipo las webs donde entramos o terceras que tienen publicidad en estas y que principalmente recuerdan los hábitos de navegación. Por eso, por ejemplo, podemos recuperar una cesta de compra aunque hayamos cerrado la página. Claramente, registran muchos datos que chocan con el concepto de privacidad, y hasta no hace mucho su conocimiento se daba por tácito. Pero con la Directiva 2009/136/CE, se estableció que debía ser previo e informado, exceptuando las cookies técnicas imprescindibles para el funcionamiento del servicio ofrecido al usuario. Después de unos años de incerteza, en abril del presente año l’AEPD va elaborar una guia sobre les cookies para esclarecer como se debe informar; en un enlace diferente al de la política de privacidad, y de forma visible, accesible y adecuada al público de la web; y como se debe obtener el consentimiento; admitiendo si se clica en el aviso o si se baja la barra lateral o se clica otro contenido de la web con el aviso observado.
Y por esto ahora aparecen tantos avisos en las páginas que acostumbran a consultar. Todo cuadra (risas). ¿Alguna reflexión final?
Sí, que defiendo firmemente la necesidad de uniformización normativa europea (y algún día internacional) porque en España se sancionan acciones que en los EUA o el Reino Unido no, y esto general inseguridad jurídica y desconfianza de las empresas hacia el sistema y sus profesionales.