Con motivo de la celebración del Día Internacional de Protección de Datos este 28 de Enero entrevistamos a Alejandro Rosillo Fairén, Doctor en Derecho y profesor de los Grado en Derecho y ADE del IEB, con ocasión del día europeo de la Protección de Datos.
1.- Hola Alejandro, para empezar nos gustaría conocer su parecer sobre cómo se presenta el futuro de la comercialización de los datos personales ante el desarrollo de tecnología que afecta a la Big Data como es la de Blockchain o la de IA.
Se trata de un reto de considerable magnitud, ya que se produce un salto cualitativo en la utilización de datos de carácter personal, que no tiene precedentes. Habrá que analizar los sucesivos avances legislativos que puedan compatibilizar el desarrollo tecnológico con la debida protección de los datos, ya que en la actualidad existen múltiples interrogantes a nivel normativo sobre la implantación del Blockchain, sobre todo por la “huella” que genera cada una de las transacciones y la complejidad de articular una autoridad de control interna en todo el proceso que permita garantizar la citada protección de datos.
En España contamos desde hace tres décadas con normativa de protección de datos (iniciándose con la derogada Ley Orgánica 5/1992, de 29 de octubre, de la regulación del tratamiento automatizado de los datos de carácter personal) que ha ido progresivamente aumentando su ámbito de protección y las cuantías de las sanciones a imponer. El marketing es una actividad lícita y necesaria en nuestra sociedad, pero debe siempre conciliarse con la normativa vigente y resultar plenamente ético, para lo cual resulta fundamental obtener el consentimiento expreso del afectado.
El servicio de “Lista Robinson” de la Agencia Española de Protección de Datos es paradigmático de esta realidad, en la cual una parte de la ciudadanía quiere resguardar su privacidad y no recibir publicidad de ningún tipo, ya que además puede resultar contraproducente el seguir remitiendo comunicaciones a personas que ya han expresado a las propias empresas su negativa a dicha recepción. No obstante, en virtud de ese mismo consentimiento, igualmente puede solicitarse recibir más publicidad por parte de las empresas. Dicho lo anterior, se podría plantear un marco normativo específico regulatorio entre profesionales, al igual que existe regulación propia exclusivamente aplicable entre los mismos.
Considero que el usuario medio no tiene un conocimiento real del verdadero control que las empresas y la Administración tienen sobre sus datos, que alcanza cotas impensables para generaciones anteriores. Y probablemente, para ser consciente de este control, el ciudadano debería tener una mayor información de lo que supone la implantación tecnológica.
El conocimiento de nuestro datos por parte de terceros puede llegar a ser verdaderamente exhaustivo y desde luego no se limitan al nombre, apellidos y dirección física o virtual. Piénsese por ejemplo en los datos de carácter económico o bancarios, transacciones financieras; consumos de agua, electricidad u otros suministros; hábitos en internet, qué páginas visitan, con que periodicidad y duración; e incluso, lo que resulta más alarmante, su propia ubicación física, lo que permite determinar todos los hábitos y conductas del sujeto. En virtud de todo ello, la utilización de dinero en efectivo, cada vez más restringida y compleja, resulta uno de los últimos reductos en las que puede aplicarse la verdadera privacidad del ciudadano en la actualidad.
El delegado de protección de datos es una figura imprescindible en la sociedad actual, puesto que deviene autoridad de control interno en el seno de la empresa que puede adoptar medidas “reales” y no “nominales” en virtud de la autonomía e independencia de la que goza legalmente. Dicho delegado puede igualmente ostentar su cargo compatibilizándolo con el de Compliance Officer, optimizando así el autocontrol realizado. Es imprescindible que, ante los riesgos que pueden derivarse en el actual tráfico jurídico y la posible responsabilidad penal de la empresa, la medidas de prevención de posibles ilícitos se incrementen, para lo cual es imprescindible también una adecuada formación de todos los agentes implicados.
En los últimos años se han elevado ostensiblemente las sanciones que se imponen a los infractores. De hecho, para infracciones graves la multa es de hasta 10 millones de euros o bien el 2% de la facturación anual, aplicando la cuantía que resulte más alta. Y para infracciones muy graves: multa de hasta 20 millones de euros o el 4% de la facturación anual, aplicando la cuantía que resulte más alta.
En atención a este marco regulatorio, que no es precisamente laxo, más que seguir elevando las sanciones, probablemente las medidas deberían ir orientadas a la adopción de medidas de carácter “preventivo” para evitar las conductas ilícitas. En este sentido, para las grandes empresas, reforzar el autocontrol y los códigos de buenas prácticas. Y en lo referido a autónomos y pymes, destacar la labor formativa que deben realizar los colegios profesionales, cámaras de comercio, entidades análogas y la propia Administración pública, que en último término debe impartirse de forma periódica y real a los empleados.
Con carácter general la mediación tendría que extenderse en aquellas situaciones de conflicto que lo permitan, con mucho mayor ímpetu que en la actualidad e impulsarse por todos los agentes implicados. La posibilidad de introducirse la misma en las controversias suscitadas en el seno del sistema ARCO podría ser de utilidad si se implantase con un procedimiento ágil y sumario, aunque debería valorarse el coste de la misma y si los usuarios de la mediación habrían de soportar el mismo.
Lógicamente la privacidad se encuentra en peligro (no meramente teórico, sino real) ante el creciente uso de la tecnología, sobre todo cuando nos encontramos ante el paradigma del “hombre-cyborg”. El ciudadano actual se encuentra permanentemente conectado a toda clase de dispositivos las veinticuatro horas del día todos los días del año, desplegando frecuentemente un comportamiento adictivo. Y a mayor abundamiento difícilmente puede romperse esa simbiosis cuando las relaciones laborales y personales cada vez se fundamentan más a través de internet.
En lo referido a la publicidad de temas que afectan a datos personales de especial protección, deberían reformularse los consentimientos otorgados por el usuario, de tal forma que, por defecto, nunca se pudiera efectuar publicidad sobre dichos extremos y que tuviese que ser solicitada expresamente por el interesado. Así se lograría también una mayor satisfacción del usuario y la reducción de conflictos. Junto a ello deberían implantarse campañas informativas al ciudadano, para que pueda ejercitar sus derechos con pleno conocimiento.