Reflexionar sobre el futuro de la privacidad constituye un objetivo ambicioso incluso pretencioso así que me permitirá el lector que rebaje sus expectativas y las sitúe en el plano de lo que un jurista puede alcanzar. En el último año hemos asistido a una aceleración creciente de ese mal que padece nuestro Derecho que denominamos superproducción o inflación legislativa.
En este plano se sitúa la reforma en marcha de la Ley de Seguridad Privada, la de la Ley General de Telecomunicaciones, la de la Ley de Propiedad Intelectual, el Código Penal, el Código de Comercio y se avizoran novedades significativas en materia de seguridad ciudadana. Y en todas ellas, la privacidad tendrá algo que decir. Por otra parte, en la Unión Europea la Propuesta de Reglamento General de Protección de Datos ha superado la primera fase de una carrera de obstáculos en forma de miles de enmiendas en el Parlamento Europeo.
Por otra parte, la reciente jurisprudencia constitucional abordando en el último bienio cuestiones relativas a registros de ordenadores, teléfonos móviles, cesiones de datos entre administraciones públicas o definiendo el ámbito de privacidad del correo-e en las relaciones laborales se presenta como un corpus apasionante para el estudio.
Únanse dos complejas posiciones de dos Abogados Generales rechazando de un lado el derecho al olvido, -debe precisarse que en un caso concreto-, y cuestionando de otro la Directiva de Conservación de Tráfico en las Comunicaciones. Para redondear el escenario, hemos contemplado en prácticamente un mismo ejercicio la presentación de una Guía sobre Cookies y la primera sanción relativa a la misma.
Sin embargo, en nuestro territorio de abogados, como después podremos apreciar, la conexión con la realidad exige de una atención constante. Cuando comenzamos a entender el significado de la palabra "Cloud" el catálogo de anglicismos crece hasta el infinito. Ello nos obliga a aprender, y sobre todo a comprender, conceptos como Privacy by Design, Privacy Impact Assessment, Big Data, Apps o Internet of Things.
Pero, ¿qué papel se reserva a los juristas en este complejo puzle de Derecho y tecnología? El todavía non nato Reglamento europeo de protección de datos nos ofrece una pista muy clara al definir la figura del delegado de protección de datos y establecer ciertas obligaciones como la "accountability" y deberes de análisis y documentación.
El primer requisito que la futura norma establece consiste en la demostración de un conocimiento profundo del marco regulador y de sus implicaciones. Ello nos conduce a señalar el primer reto que enfrentamos los juristas: «la especialización». Muchos de nosotros crecimos en un mundo en el que la naturaleza de las cosas comportaba una evolución casi lineal definida por las etapas de licenciatura, pasantía y ejercicio. Ese mundo ya no existe más. La propia presencia de condiciones de acceso adicional al ejercicio de la abogacía así lo demuestra. Pero la realidad es mucho más complicada.
El nuevo modelo educativo universitario combina grados cada día más generalistas con un alto grado de especialización por medio del posgrado. Además estos estudios universitarios de especialización se caracterizan por su apertura a múltiples perfiles. Además, cuando son "oficiales" certifican competencias y acreditan para el ejercicio profesional. Dicho con un ejemplo muy preciso un graduado en economía o ADE que haya cursado un máster oficial sobre protección de datos personales puede afirmar que reúne los requisitos formativos que le habilitan para el desempeño de la función de delegado de protección de datos.
Este constituye por tanto el primer reto para un licenciado o graduado en Derecho, y también para el mercado, demostrar y reconocer quién es competente para ejercer sus funciones en esta materia. En estos momentos asistimos, con excepción de los específicamente doctorados o graduados en protección de datos o en Derecho y TIC, a una realidad en la que el asesoramiento en protección de datos simplemente "se ejerce". La evolución natural del mercado deberá expulsar a aquellos que han apostado por el asesoramiento epidérmico basado en rellenar un test y producir documentos con la misma naturalidad con la que otros producen churros, pero con mucho menos arte. Y deberá expulsar también a quienes no consigan certificar sus capacidades.
La Asociación Profesional Española de Privacidad ha apostado por ofrecer un sello de certificación confiable para el mercado. No somos la única entidad el propio ICAB mantiene un registro al efecto. En nuestro caso hemos conformado un proceso de certificación basado en sólidos pilares como la presencia de un comité académico, el auxilio de certificadores independientes y la fijación de estrictos requisitos. Sólo las personas con un título superior habilitante, como la licenciatura o el grado en Derecho o Informática o un posgrado, pueden concurrir a nuestros procesos de certificación y validar allí su experiencia.
Lanzar al mercado una certificación de esta naturaleza comporta una enorme responsabilidad y una gestión cautelosa, pero el mercado necesitará en breve de organizaciones confiables y profesionales reconocibles.
El segundo reto en privacidad para los profesionales del Derecho puede resumirse en tres palabras: formación, formación, y formación. El ejercicio profesional en nuestra materia se caracteriza por dos notas distintivas. La primera consiste en lo que me atrevería a definir como instrumentalidad y superación del silogismo. No existe un modo lineal de aplicar la legislación sobre protección de datos personales. La nuestra es una tarea sectorial y con adjetivos. Existe una protección de datos en salud, en el comercio electrónico, en las relaciones laborales, en la administración pública, y así ad infinitum. Desconfíen Vds. de los profetas de la LOPD incapaces de deletrear el apellido Savigny. La interpretación sistemática, la atención a la realidad del tiempo en que aplicamos las normas, nuestro viejo Código Civil y las reglas de la hermenéutica son esenciales. Y esto nos lleva a la segunda nota, no existen soluciones planas hay que estudiar cada caso con detalle. Una y otra característica nos obligan a una constante actualización tanto en nuestro ámbito como en el del conocimiento de la realidad jurídica además de la tecnológica.
Y esta afirmación nos lleva al tercer gran reto que debemos abordar: la interdisciplinariedad. En noviembre de 2013 vio la luz un artículo en la Revista SIC, «El Ciso v. el CPO», en el que de modo absolutamente inconsciente acepté el reto lanzado por sus editores de reflexionar sobre la relación entre los profesionales de la seguridad y la privacidad y determinar dónde deberían estar uno y otro en una organización. No me avergüenza contar aquí cómo en el mensaje de correo electrónico en el que envié el original comentaba al editor que podía perfectamente no publicar aquella "cosa".
La provocación de SIC, si se puede definir así, me hizo pensar que todo el debate que aparentemente enfrenta a juristas y abogados como profesionales incapaces de entenderse, sólo puede calificarse como profundamente estéril. Lawrence Lessig, al que no hace mucho acogió el ICAB, afirma en el «Código y otras leyes del ciberespacio» que la tarea de un programador es materialmente normativa. Por tanto, nuestra mentalidad no dista una micra de la suya. Estamos obligados a desempeñar nuestra tarea en el marco de una interacción feraz junto con analistas, desarrolladores, programadores, social media manager, expertos en marketing y negocio. La interdisciplinariedad constituye un reto ineludible.
Pero soy portador de malas noticias nos toca ganarnos un puesto. Y para ello quiero compartir algunas pistas enormemente valiosas para mí, aunque no se si generalizables:
● Salvo ante un supuesto de ilicitud manifiesta no existe la palabra NO, la palabra esencial es "cómo". No somos los gestores, directores o gerentes, ante todo debemos ser facilitadores debemos buscar la solución más funcional a la cultura, necesidades y modos de hacer de la organización.
● «Cuándo», es algo más que una partícula temporal, es una cuestión esencial. La propuesta de Reglamento se refiere al Privacy by Design. Este objetivo no será alcanzable si esperamos cómodamente en nuestro despacho al informe final. Nuestra tarea comienza en el momento 0 en el que alguien está gestando el nuevo servicio o producto y lo acompaña durante todo el periodo.
● «Cómase Vd. su comida para perro», póngase en el lugar del usuario, con sus necesidades, con sus prejuicios, ajuste su lenguaje a las necesidades del contexto, esté dispuesto a no entender y por lo tanto a preguntar, sea dispuesto y humilde. El derecho fundamental a la protección de datos personales no se aplica con smoking obliga a calzarse el mono de trabajo y ensuciarse de grasa.
● Dos más dos no suman cuatro. Olvídese de las soluciones prefabricadas y de los casos de laboratorio donde la premisa A era encajada en la norma, incluso con calzador, para llegar a la consecuencia. O se adapta a la realidad, o es capaz de fabricar trajes a medida, o fracasará.
● Y la última, diviértase todo el tiempo. Trabajar en privacidad obliga a una mente despierta e imaginativa. Desarrollar una APP puede resultar interesante no sólo para las políticas de privacidad, abre el camino a cosas tan variopintas como el secreto de las comunicaciones, el comercio electrónico, la propiedad intelectual, la protección de la juventud y la infancia, la legislación sobre juego o la validez de una notificación administrativa y todo en apenas 2 MB de información.
Hemos compartido aquí algunos retos profesionales desde un punto de vista general. Si descendemos al caso concreto de la regulación actual y la que está por venir creo que debo subrayar la necesidad de tener en cuenta algunos aspectos.
Van a surgir nuevas necesidades que quisiera destacar muy brevemente. Primero, la Propuesta de Reglamento incorpora nuevas obligaciones y principios que, quiero insistir, nos obligarán a formarnos. Las labores de documentación se acentúan, los controles previos mediante herramientas de Privacy by Design y Privacy Impact Assessment, las notificaciones previas a la Agencia Española de Protección de Datos o las notificaciones de quiebras de seguridad serán nuevas exigencias. En mi opinión, todas ellas se resumen en lo que podemos definir como accountability. Es decir, nuestra diligencia a la hora de implementar medidas ordenadas a garantizar el cumplimiento normativo en protección de datos constituye un elemento determinante el futuro espíritu de la norma. Y en esa labor los profesionales de la privacidad con un perfil "abogado" están llamados a jugar un papel determinante.
Y esta tarea, la vamos a tener que emprender pertrechados de un amplio bagaje cultural y con muchos arrestos porque la legislación deja mucho que desear. La propia, y la foránea. Habrá observado el respetable público asistente a esta conferencia, que espero en breve se convierta en diálogo, que a pesar de una referencia a conceptos como Big Data, no se ha dedicado a ellos ni una línea de texto. Quien aquí les habla no comparte en absoluto el gusto casi enfermizo de parte de nuestros Privacy Champions, por el Gadget. Es un fenómeno recurrente, hace unos años las RFID iban a acabar con el mundo conocido, el año pasado fueron buscadores y redes sociales, el próximo apuesto que le toca al Big Data y a los drones.
Pero no es esta la cuestión, mientras miramos al dedo acusador no apreciamos el universo al que apunta. Y ese universo es un universo de principios y reglas que deben conjugar generalidad y abstracción y a la vez ser eficientes. Últimamente, permítanme esta confesión personal, he desarrollado una enfermiza aversión por las cookies. Y me temo que he contraído las dos cepas de la enfermedad. Primero, porque como ciudadano me preocupa extraordinariamente que el uso de las mismas degenere en tecnologías de análisis del comportamiento manipuladoras, o lo que es peor al servicio de sujetos dispuestos a cercenar nuestras libertades. Y al mismo tiempo, como quien debe aplicar la norma, no alcanzo a entender una pésima regulación con sujetos obligados mal definidos, con obligaciones técnicas difícilmente asumibles para destinatarios como las PYME, y con un usuario al que queremos proteger y que, -salvo que tenga una intención clara de salvaguardar sus derechos fundamentales- se limitará a "aceptar" sin cuestionarse nada. Para este viaje, no hacían falta alforjas.
Incluso afirmando ante Vds. mi profunda convicción de las bondades de la existencia de lo que un norteamericano denominaría mercado regulado de la Privacy, incluso estando firmemente convencido de la prevalencia de nuestro derecho fundamental a la protección de datos personales y de su profundo significado para la democracia, debo reconocer que no nos podemos permitir un ordenamiento centrado en el gadget y no en el principio.
Los juristas no necesitamos al legislador medroso del artículo 18.4 CE, nos urge un legislador contemporáneo capaz de fijar los principios que balanceen la privacidad con los intereses en presencia y reguladores dispuestos a promover soluciones aplicables. Dicho con un ejemplo me temo muy personal, me encanta que Amazon me recomiende libros, pero necesito tener la garantía de que cumplirá la Ley y respetará mis derechos. Nuestra sociedad, y nuestra economía digital necesita de este equilibrio.
Vds. y yo, como profesionales del Derecho estamos llamados por tanto a ser herramienta esencial para alcanzarlo. Ese es nuestro mayor reto.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación