Alejandro Rosillo: "El creciente uso de la tecnología amenaza la privacidad"

Con motivo de la celebración del Día Internacional de Protección de Datos este 28 de Enero entrevistamos a Alejandro Rosillo Fairén, Doctor en Derecho y profesor de los Grado en Derecho y ADE del IEB, con ocasión del día europeo de la Protección de Datos.

1.- Hola Alejandro, para empezar nos gustaría conocer su parecer sobre cómo se presenta el futuro de la comercialización de los datos personales ante el desarrollo de tecnología que afecta a la Big Data como es la de Blockchain o la de IA.

Se trata de un reto de considerable magnitud, ya que se produce un salto cualitativo en la utilización de datos de carácter personal, que no tiene precedentes. Habrá que analizar los sucesivos avances legislativos que puedan compatibilizar el desarrollo tecnológico con la debida protección de los datos, ya que en la actualidad existen múltiples interrogantes a nivel normativo sobre la implantación del Blockchain, sobre todo por la “huella” que genera cada una de las transacciones y la complejidad de articular una autoridad de control interna en todo  el proceso que permita garantizar la citada protección de datos.

2. Existe una regulación sobre protección de datos personales, pero ¿no debería existir una regulación sobre datos profesionales que facilite a las empresas las labores de comercialización y marketing una vez que cabe distinguir entre las facetas de sujeto profesional  y de sujeto privado en cualquier persona física?

En España contamos desde hace tres décadas con normativa de protección de datos (iniciándose con la derogada Ley Orgánica 5/1992, de 29 de octubre, de la regulación del tratamiento automatizado de los datos de carácter personal) que ha ido progresivamente aumentando su ámbito de protección y las cuantías de las sanciones a imponer. El marketing es una actividad lícita y necesaria en nuestra sociedad, pero debe siempre conciliarse con la normativa vigente y resultar plenamente ético, para lo cual resulta fundamental obtener el consentimiento expreso del afectado.

El servicio de “Lista Robinson” de la Agencia Española de Protección de Datos es paradigmático de esta realidad, en la cual una parte de la ciudadanía quiere resguardar su privacidad y no recibir publicidad de ningún tipo, ya que además puede resultar contraproducente el seguir remitiendo comunicaciones a personas que ya han expresado a las propias empresas su negativa a dicha recepción. No obstante, en virtud de ese mismo consentimiento, igualmente puede solicitarse recibir más publicidad por parte de las empresas. Dicho lo anterior, se podría plantear un marco normativo específico regulatorio entre profesionales, al igual que existe regulación propia exclusivamente aplicable entre los mismos.

3. ¿Cree que el usuario medio es realmente consciente del control que las empresas y la Administración tienen sobre sus datos personales?

Considero que el usuario medio no tiene un conocimiento real del verdadero control que las empresas y la Administración tienen sobre sus datos, que alcanza cotas impensables para generaciones anteriores. Y probablemente, para ser consciente de este control, el ciudadano debería tener una mayor información de lo que supone la implantación tecnológica.

El conocimiento de nuestro datos por parte de terceros puede llegar a ser verdaderamente exhaustivo y desde luego no se limitan al nombre, apellidos y dirección física o virtual. Piénsese por ejemplo en los datos de carácter económico o bancarios, transacciones financieras; consumos de agua, electricidad u otros suministros; hábitos en internet, qué páginas visitan, con que periodicidad y duración; e incluso, lo que resulta más alarmante, su propia ubicación física, lo que permite determinar todos los hábitos y conductas del sujeto. En virtud de todo ello, la utilización de dinero en efectivo, cada vez más restringida y compleja, resulta uno de los últimos reductos en las que puede aplicarse la verdadera privacidad del ciudadano en la actualidad.

4. ¿Qué nivel de importancia adquiere la figura del Delegado de Protección de Datos en la labor de compliance en el ámbito de las empresas actualmente?

El delegado de protección de datos es una figura imprescindible en la sociedad actual, puesto que deviene autoridad de control interno en el seno de la empresa que puede adoptar medidas “reales” y no “nominales” en virtud de la autonomía e independencia de la que goza legalmente. Dicho delegado puede igualmente ostentar su cargo compatibilizándolo con el de Compliance Officer, optimizando así el autocontrol realizado. Es imprescindible que, ante los riesgos que pueden derivarse en el actual tráfico jurídico y la posible responsabilidad penal de la empresa, la medidas de prevención de posibles ilícitos se incrementen, para lo cual es imprescindible también una adecuada formación de todos los agentes implicados.

5. ¿Estima usted que las actuales sanciones que la AEPD impone a los infractores son suficientes o deberían ser más “disuasorias”?

En los últimos años se han elevado ostensiblemente las sanciones que se imponen a los infractores. De hecho, para infracciones graves la multa es de hasta 10 millones de euros o bien el 2% de la facturación anual, aplicando la cuantía que resulte más alta. Y para infracciones muy graves: multa de hasta 20 millones de euros o el 4% de la facturación anual, aplicando la cuantía que resulte más alta.

En atención a este marco regulatorio, que no es precisamente laxo, más que seguir elevando las sanciones, probablemente las medidas deberían ir orientadas a la adopción de medidas de carácter “preventivo” para evitar las conductas ilícitas. En este sentido, para las grandes empresas, reforzar el autocontrol y los códigos de buenas prácticas. Y en lo referido a autónomos y pymes, destacar la labor formativa que deben realizar los colegios profesionales, cámaras de comercio, entidades análogas y la propia Administración pública, que en último término debe impartirse de forma periódica y real a los empleados.

6. ¿Cree que sería positivo dar cabida a la mediación como procedimiento para resolver los conflictos ARCO? ¿Por qué?

Con carácter general la mediación tendría que extenderse en aquellas situaciones de conflicto que lo permitan, con mucho mayor ímpetu que en la actualidad e impulsarse por todos los agentes implicados. La posibilidad de introducirse la misma en las controversias suscitadas en el seno del sistema ARCO podría ser de utilidad si se implantase con un procedimiento ágil y sumario, aunque debería valorarse el coste de la misma y si los usuarios de la mediación habrían de soportar el mismo.

7. Y para terminar, ¿hasta qué punto el uso de tecnologías de reconocimiento emocional y comportamental amenazan la privacidad? ¿Habría que prohibir a los buscadores el uso de técnicas como la de Google Suggest prohibiendo la publicidad de aquellos temas y apartados que afectan a datos personales de protección especial (orientación sexual, religión, salud, política, afiliación político…)?

Lógicamente la privacidad se encuentra en peligro (no meramente teórico, sino real) ante el creciente uso de la tecnología, sobre todo cuando nos encontramos ante el paradigma del “hombre-cyborg”. El ciudadano actual se encuentra permanentemente conectado a toda clase de dispositivos las veinticuatro horas del día todos los días del año, desplegando frecuentemente un comportamiento adictivo. Y a mayor abundamiento difícilmente puede romperse esa simbiosis cuando las relaciones laborales y personales cada vez se fundamentan más a través de internet.

En lo referido a la publicidad de temas que afectan a datos personales de especial protección, deberían reformularse los consentimientos otorgados por el usuario, de tal forma que, por defecto, nunca se pudiera efectuar publicidad sobre dichos extremos y que tuviese que ser solicitada expresamente por el interesado. Así se lograría también una mayor satisfacción del usuario y la reducción de conflictos. Junto a ello deberían implantarse campañas informativas al ciudadano, para que pueda ejercitar sus derechos con pleno conocimiento.