Entrevistamos a Maite Sanz de Galdeano Arocena, Abogada y Consultora. DPD. Protección de Datos con motivo de la celebración del primer INSIGHT Club DPD AEC 2022.
1. Hola Maite, recientemente se ha celebrado el primer INSIGHT Club DPD AEC 2022, para comenzar y pensando en aquellos de nuestros lectores que no han podido asistir al mismo ¿podría presentárnoslo y decirnos en qué ha consistido?
Como en todos los Insight del Club del DPD, se han tratado temas novedosos en nuestro sector que pueden tener repercusión en el día a día de las funciones de un DPD. Así, Ismael Simón Moreno comenzó con una ponencia sobre la Transformación digital del ecosistema de la privacidad. Continué yo, con los conflictivos contratos de bienes y servicios digitales a cambio de datos personales. A continuación, Xaime Méndez expuso las claves más relevantes del nuevo Esquema nacional de certificación de responsables de Ciberseguridad y para finalizar, Leocadio Marrero Trujillo impartió un taller más práctico sobre la nueva norma ISO 27002:2022.
2. ¿Debería de haber una regulación ad hoc destinada a los contratos de bienes o servicios digitales a cambio de datos personales, independiente de la regulación ya existente en la Ley General para la Defensa de los Consumidores y Usuarios? ¿Por qué?
Ya disponemos de esa regulación ad hoc, es la Directiva (UE) 2019/770, de 20 de mayo de 2019, relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales. Es esta norma la que ha sido transpuesta en España por el Real Decreto-ley 7/2021, de 27 de abril, que a su vez ha generado la modificación de la Ley General para la Defensa de los Consumidores y Usuarios.
El legislador español ha reconocido el indiscutible valor económico de los datos personales y, a través de estas modificaciones, dota al consumidor de todas las protecciones y garantías correspondientes a un contrato oneroso. Estos contratos, pues, salen del limbo de la indefinición y pasan a ser contratos regulados. Lo que falta ahora es conjugar la cultura de la privacidad cuyo marco es el Reglamento General de protección de datos (RGPD) con la cultura del mercado de datos. Si el ciudadano quiere vender la cesión de sus datos (con todas las garantías) no tiene sentido seguir atrincherados en la idea de que eso no es aceptable, cuando es una práctica cotidiana: mejor es la regulación que la “negación”.
Todo apunta a que serán los tribunales los que tengan que decidir cuál será la línea a seguir. Es cierto, de todos modos, que hay algunos aspectos de este modo de contratación que podrían haber merecido un tratamiento específico para evitar dudas en su aplicación: en particular, en lo que se refiere a los deberes de información precontractual y a las consecuencias de ofrecer al consumidor expresamente la alternativa de pagar con datos personales o con dinero.
3. ¿En esta transacción qué papel ha de desempeñar la ética en la gestión y uso de los datos personales que se han recabado, o preguntado de otro modo, a su juicio cuáles son los principios éticos por los que se deben conducir dichos contratos?
Creo que, por suerte, la nueva normativa consigue que no haya que acudir a la ética a la hora de hablar de estos contratos. Hasta enero de 2022, sí, puesto que no contábamos con las garantías que nos da la Ley de Consumidores. Hasta ese momento, y a pesar de contar con el RGPD, buena parte del buen uso de esos datos personales, y del modo de obtener la cesión de los mismos, dependía de la ética de cada empresa. Como jurista, estoy mucho más tranquila ahora que ya no será necesario, puesto que, por desgracia, no basta con la confianza en la buena fe de las empresas y la invocación de las “buenas prácticas” para evitar abusos, sobre todo si la utilización de unas prácticas u otras supone consecuencias económicas.
Más allá de las exigencias legales, es cierto que hay aspectos en los que sí puede ser importante la ética profesional y empresarial en materia de privacidad: por ejemplo, en cómo presentar la información al consumidor de manera que éste entienda que la cesión de datos comporta un beneficio económico para la empresa; y, sobre todo, para evitar la mala práctica de convertir la alternativa de pagar con dinero en vez de con datos como una penalización, al fijarse una cantidad demasiado gravosa, amparándose en la libertad de precios.
Lógicamente, estoy hablando del marco europeo. Me temo que, si nos referimos a los contratos que provengan de otros países, la ética en la gestión de la empresa en cuestión será fundamental.
4. ¿Cabría aplicar por el titular de los datos personales el derecho al olvido, o mejor dicho, el ejercicio de la soberanía de los datos personales -en el marco de la presente regulación (LOPDGDD y RGPD)- está siempre garantizada para el titular de los mismos?
La protección de datos es un derecho fundamental y eso es una premisa incuestionable. Los derechos de los titulares de los datos, sobre sus datos, están garantizados. Por el hecho de insertarse como contraprestación en un contrato no pierden su rango de derecho fundamental, y eso impide que reciban el trato de una mercancía cualquiera. Para empezar, el titular puede retirar el consentimiento para el uso de sus datos en cualquier momento, aunque, como es lógico, en ese caso se resolverá el contrato. La empresa deberá garantizar, en particular, el derecho de supresión de los datos personales del interesado, así como el derecho a la portabilidad.
5. ¿Qué destacarías de los otros temas tratados en el INSIGHT Club DPD AEC 2022?
Los temas seleccionados para las ponencias han sido muy interesantes y de contenidos muy distintos. Quizás destacaría la charla sobre transformación digital del ecosistema de la privacidad. En palabras de Ismael Simón Moreno, se trata de digitalizar el ecosistema de privacidad, conectando productos, sistemas, plataformas y experiencias de usuario desde el diseño: “Supone crear un marco de trabajo para que la privacidad se tenga en cuenta en las fases más tempranas del desarrollo de productos y servicios para los clientes. Se trata de diseñar y crear un ecosistema donde los clientes tienen una experiencia de privacidad digital, donde puedan controlar sus datos y conocer de forma transparente el uso que se hace de los mismos.”
Y es que si hablamos de “ecosistema” es porque ya nos hemos dado cuenta de lo importante que es adoptar una perspectiva global, dada la relevancia de la interrelación entre todas las piezas del sistema si se aspira a una protección integral: tan importante es cada elemento, cada medida de protección, cada experiencia, como su entorno. Para ello, tal y como explicó Ismael, es fundamental que la parte de sistemas esté bien gobernada, puesto que es la clave. No vale de nada tener una buena cultura de privacidad en la empresa y una buena experiencia final si los sistemas no están perfectamente adaptados. Obviamente, estamos hablando de estrategias que son necesarias para las grandes organizaciones, como Telefónica, que tratan ingentes cantidades de datos.
Por otro lado, en un entorno al que muchos usuarios aún no están familiarizados, todo lo que sea generar confianza y seguridad a los ciudadanos me parece prioritario. La transparencia es fundamental para lograrlo. Un futuro equilibrado pasa por un ciudadano consciente y empoderado.
Entrevista realizada por Carlos Porras y José Ramón Moratalla.