ElDerecho.com entrevistó el pasado 15 de julio a Javier Carbayo, Gerente del Área de Compliance de Ecix y miembro de Data Privacy Institute, de ISMS Forum.

Pregunta: ¿Cómo considera que anda España en cuanto a cultura de privacidad y seguridad de la información en el ámbito de la empresa? ¿Qué propondría a la Administración para potenciarla?

Respuesta: La situación actual de España en materia de privacidad y seguridad de la información puede medirse mediante diferentes parámetros. Desde un punto de vista de evolución histórica, es evidente que ha habido un cambio muy importante en los últimos años, con una mejora sustancia tanto en privacidad como en seguridad de la información. Sin embargo, bajo un parámetro de estado de situación general, nos encontramos importantes lagunas en algunos sectores o tamaños de empresas e incluso una desatención que ralentiza la total incorporación a la Sociedad de la Información. 

En todo caso, la Administración tiene un papel relevante en la necesidad de seguir empujando por una mejor calidad de la privacidad y en la seguridad de la información, por ejemplo, a través de incentivos y beneficios para las empresas que acreditan que cumplen y protegen. 

P: ¿Por qué el legislador español optó en su momento por diseñar un marco regulatorio tan estricto en el ámbito de la protección de datos personales si lo comparamos con respecto al resto de ordenamientos nacionales de los países de nuestro entorno?

R: No creo que sea así, España no tiene un marco regulatorio necesariamente más estricto que los principales países de nuestro entorno, si pensamos por ejemplo en Francia o Alemania. Además, la base para todos los países de la Unión Europea es la misma, la Directiva 95/46/CE, si bien ha sido transpuesta con algunas diferencias, en lo posible, entre diferentes países. 

Es más, aun cuando la actuación de la Agencia Española de Protección de Datos ha sido intensa y de calado, también ha sido un referente a nivel europeo.

En definitiva, no creo que tengamos un marco regulatorio más estricto en relación a nuestros vecinos europeos, pero sí un marco regulatorio más detallista que no olvidemos se crea para desarrollar un precepto como es el art. 18.4 de la Constitución. 

P: Se acaba de aprobar recientemente el primer texto de Reglamento, después de más de tres años, y ahora volverá a debatirse en el Parlamento. En este sentido ¿cómo afectará este cambio a las empresas españolas respecto a la norma del 95 aún vigente?

R: Ante todo, las empresas se verán afectadas por el hecho de que la nueva Normativa será la misma para todos los países UE, frente al modelo actual de Directiva que ha debido de ser transpuesto a cada país, lo que ha creado ciertas dificultades para atender requisitos en empresas con ámbito superior a un solo país UE. 

Pero más allá de eso, las empresas se enfrentan a un enfoque diferente de la Privacidad, más cercano (quizá no lo que quisiéramos) a la realidad de nuestros días, y enfocado a la necesidad de incorporar la Protección de datos como un elemento intrínseco a todo proyecto y proceso empresarial, orientado hacia la verificación continua de las necesidades en la materia y basado no solo al cumplimiento sino principalmente a la capacidad para demostrar en cada momento tal cumplimiento. Además, sin duda se crea una oportunidad para que la Privacidad no sea un mero coste, sino un valor añadido y un elemento diferencial apreciado por el mercado y los consumidores. 

P: Con dicha reforma en ciernes y los cambios que se anuncian ¿hacia dónde vamos en cuanto a la protección de la privacidad se refiere?

R: Quizá estamos todavía en un momento en que el debate en las instituciones europeas no permiten señalar con toda precisión el camino que se pretende seguir en materia de Protección de datos en Europa. No obstante, sin duda, el hecho de que la Privacidad haya saltado a la primera plana de los medios de comunicación, y el hecho de que la Seguridad de la Información y la Ciberseguridad hayan subido muchos puestos en la lista de prioridades de empresas y Gobiernos plantea un panorama alentador. 

En todo caso, parece que a la pregunta sobre hacia dónde vamos haya que responder que hacia una sociedad y una economía que quiere hacer compatible los nuevos modelos económicos, los nuevos modelos de provisión de servicios tecnológicos, la incorporación de las tecnologías a cada minuto de nuestra vida, etc., con un respeto a ciertas líneas base en materia de Privacidad y Protección de Datos, lo cual supone comenzar por los diferentes conceptos que de estas materias hay en diferentes áreas geográficas (p.e. la clásica diversidad conceptual entre Europa y Estados Unidos).

P: Hace un año el Tribunal de Justicia de la Unión Europea (TJUE) dictó la resolución conocida popularmente como “sentencia del derecho al olvido de datos personales en Internet”. Un año después de dictarse el fallo ¿cuál es la valoración que le merece la sentencia?

R: La primera valoración sobre la sentencia…, es que la sentencia es en cierta medida ya cosa del pasado. Es decir, la denominada sentencia sobre el derecho al olvido (denominación que se queda muy corta respecto a su contenido) puso sobre la mesa un escenario sobre el que proponía unas directrices generales de aplicación, pero cuya puesta en práctica ha sido el verdadero reto de los últimos meses. 

Más allá del impacto mediático que la sentencia tuvo y sigue teniendo, lo que se ha de valorar es el nivel de claridad y acuerdo que hay sobre su traslado al día a día, con relación específicamente a la materia del derecho al olvido. Y es aquí donde, en mi opinión, surgen más dudas que certezas. A pesar de los esfuerzos del Grupo del Artículo 29 y las Autoridades de Protección de Datos en precisar los límites de tal derecho, y a pesar de los intentos por llevarlo más allá del ámbito UE, lo cierto es que todavía está en manos de los buscadores en general y Google en particular el valorar cuando concurren o no las circunstancias para atender una solicitud de aplicación de lo creado por la sentencia. 

Hace falta trabajar más para llegar a un concepto delimitado de manera mucho más precisa y concreta, para evitar dejar a los buscadores en el compromiso de decidir por su cuenta. 

P: Desde la perspectiva de la protección jurídica de la privacidad ¿podría señalarnos cuáles son los principales riesgos que trae consigo el Internet de las cosas?

R: El principal riesgo de Internet de las Cosas es que atribuyamos al concepto un riesgo inherente para los datos personales en general y para la Privacidad en particular, cuando no creo que sea oportuno hacerlo así. No obstante, es obvio que pueden surgir ciertos riesgos:

• Un concepto de “dato personal” claro 
• Un análisis de necesidad y oportunidad sobre cada conjunto de datos personales que se trate en cada caso.
• Una implicación permanente, precisa y sencilla del interesado en cuanto a qué datos personales propios se verán afectados.
• Un acceso a la información generada basada en una atribución de privilegios y capacidades coherente, y articulada en torno a una configuración de seguridad acorde con los riesgos que se hayan identificado. 

P: ¿Qué opinión le merece la cuestión de la admisibilidad en Derecho de la renuncia a la privacidad por defecto en la instalación de las apps, cuando decidimos aceptar la descarga de las mismas en nuestros smartphones o tablets?

R: En la pregunta está gran parte de la respuesta, y en concreto, en dos partes de la misma: “renuncia a la privacidad” y “decidimos aceptar la descarga”. Más allá de que en determinadas situaciones las políticas de privacidad y/o condiciones de uso de las apps sí que son abusivas porque piden datos en absoluto necesarios para las funcionalidades que proponen, en la mayoría de casos lo cuestionable quizá no sea lo que se pide sino cómo se pide. 

Es decir, la cuestión no es si le pedimos al usuario que renuncie (concepto siempre a utilizar con mucho cuidado), sino si le estamos dando información clara, sencilla, accesible y fácil de manejar sobre qué se propone que va a ocurrir con sus datos. Así, la decisión sobre qué se hace (descargar / no descargar) estará basada en una decisión informada y consciente, lo que en muchísimas ocasiones ahora no ocurre.