Los expertos analizan con moderado optimismo el texto que debe adaptar la legislación española al Reglamento General de Protección de Datos
Los expertos en privacidad valoran con moderado optimismo el texto del anteproyecto de Ley Orgánica de Protección de Datos (LOPD), si bien señalan algunas carencias que deberán ser abordadas en los próximas etapas de su tramitación. La mayoría de los profesionales consultados por Iuris&Lex coinciden en subrayar la inseguridad que crea el amplio margen que tanto el Reglamento General de Protección de Datos (RGPD) como la ley –de mantener su redacción tal y como se encuentra en la actualidad– conceden a las autoridades en la materia en la precisión de las sanciones. Otras materias que aparecen señaladas con un “necesita mejorar” son el aclarar en qué momento el tratamiento podrá verse amparado por el interés legítimo o algunos aspectos relativos a laregulación de los derechos.
Finalmente, los especialistas han acogido con satisfacción que se profundice en la regulación del delegado de protección de datos –DPO, por sus siglas en inglés– y que se apueste por las soluciones amistosas frente a los procedimientos sancionadores.
Régimen sancionador
El RGPD determina que, para las infracciones muy graves, las multas podrán alcanzar los 20 millones de euros o el 4 por ciento del volumen de negocio total anual. Para las que sean calificadas como graves, el máximo es de 10 millones de euros o del 2 por ciento del volumen de negocio total anual.
El anteproyecto, sin bien contiene un extenso catálogo de las conductas que tendrán la consideración de infracciones muy graves, graves o leves –y sus correspondientes plazos de prescripción, de tres, dos y un año, respectivamente–, no ofrece parámetros para fijar la cuantía final. El amplio margen del que disponen la Agencia Española de Protección de Datos (AEPD), no obstante, sí se ve complementada con elementos que podrán ser valorados para su fijación –un listado que se suma al del Reglamento–.
“La amplitud genera mucha incertidumbre por el gran poder discrecional que otorga a las autoridades de control y cómo defenderse en caso de extralimitación”, señala Cecilia Álvarez, presidenta de la Asociación Profesional Española de Privacidad (APEP), quien, no obstante, atribuye la horquilla a la necesidad de aplicar el régimen a distintos supuestos y organizaciones.
Javier Guillén, consultant de Derecho Público y Regulatorio en Herbert Smith Freehills y Catedrático de Derecho Administrativo en la Universidad Rey Juan Carlos cree que “sería conveniente precisar más” la cuantía de las multas. “De hecho, tal y como se encuentra redactado [el precepto dedicado a las sanciones], puede resultar contrario al principio de legalidad y tipicidad en materia sancionadora al no venir determinadas de forma clara y precisa las sanciones que deben imponerse por la comisión de infracciones previstas en el anteproyecto”.
Del riesgo de “inseguridad jurídica” que provoca la falta de concreción advierte Irene López, Asociada de Rousaud Costas Duran, aunque ello “puede suponer una mejor acomodación de la sanción a las condiciones del infractor”. Sin embargo, añade que esta circunstancia “no guarda coherencia” con la concreción que sí se da a la prescripción.
En una posición menos crítica se sitúa Jorge Villarino, socio y director de Regulación de Vinces. “Siempre es deseable que el principio de tipicidad se cumpla con el máximo rigor, pero la realidad es que el tipo de redacción que se da en el anteproyecto no es infrecuente y es acorde con la jurisprudencia constitucional”, reflexiona, y añade que “dada la dimensión de las sanciones, a lo que habrá que estar muy atentos es a que se respeten de verdad los criterios de graduación establecidos” en el RGPD y en la futura LOPD.
Por su parte, Rodrigo González, senior manager del Departamento Mercantil de EY resalta el listado de infracciones frente al “muy genérico” régimen sancionador del RGPD. Una tipificación y una categorización que “ofrece una mayor seguridad jurídica”.Medidas correctivas antes que multas La compensación del endurecimiento del régimen sancionador con la posibilidad de alcanzar acuerdos a través de los cuales la adopción de medidas correctivas permita esquivar el expediente por parte de la autoridad es una medida aplaudida por los especialistas.
“Lo importante es garantizar un derecho fundamental y la sanción no es sino un instrumento más, que no el único, que nos da el Derecho para satisfacer ese derecho”, observa Villarino.
Guillén también la considera “acertada” dado que el incumplimiento puede producirse por “mero desconocimiento de la empresa que realiza el tratamiento de datos”, por lo que puede resultar “excesivo” iniciar un procedimiento sin dar antes la oportunidad de corregir la conducta.
El anteproyecto de la LOPD, asimismo, configura al DPO como una primera instancia a la que pueden acudir los interesados para presentar sus reclamaciones o, incluso, a la que AEPD derive algunas de ellas antes de analizarlas. “Sin perjuicio de que aumenta el trabajo del DPO, sin duda, es mejor que la organización tenga la oportunidad de arreglar amistosamente con el afectado un problema -que puede ser un mero malentendido o un error involuntario que puede solucionarse rápidamente en beneficio del afectado y de la organización- en vez de hacerlo en el seno de un procedimiento sancionador. Ese debe ser un incentivo para nombrar un delegado de protección de datos voluntario”, valora Álvarez.
González reflexiona que, efectivamente, el DPO puede “servir como engranaje” para mediar y solucionar de modo amistoso muchas reclamaciones.“Esta circunstancia y su posicionamiento como contacto principal de la AEPD le asemeja a un servicio de atención al cliente que de tanta utilidad ha sido en los sectores financieros regulados”.
La regulación del DPO
En relación con la configuración legal del delegado de protección de datos, la presidenta de la APEP valora positivamente la presencia de “la voz de los profesionales” en el Consejo Consultivo de la Agencia de Protección de Datos –aunque manifiesta que no entiende bien por qué el nombramiento del representante lo haga el Ministerio de Justicia– y el listado de situaciones en donde el DPO será obligatorio.
En el otro extremo, Álvarez duda si el perfil del delegado que regula el anteproyecto “desdibuja en alguna medida su claro papel estratégico en algunas instituciones”. “El DPO no tiene por qué ser en todos los casos el ejecutor de las obligaciones concretas de la organización, como puede ser el inventario o la evaluación de impacto”, sino que debe participar activamente en su diseño y en los procesos, explica.
Rodrigo González, por su parte, echa de menos que el texto establezca cuáles serán los requisitos de cualificación del DPO y los medios a través de los cuales se deberá acreditar.Similar valoración hacen Javier Guillén e Irene López. El primero, asimismo, reclama más precisión en la garantía de independencia de la figura.
López, por su parte, cree que la falta de concreción en la acreditación de los requisitos del artículo 37.5 del RGPD “puede dar lugar a que algunos responsables de tratamientos contraten a DPO que realmente carecen de conocimientos sólidos en la materia”. Jorge Villarino, en la misma línea, observa, no obstante, que quizás el rango de la norma haya sido determinante para no precisar más las cualificaciones requeridas.
Todos los expertos coinciden en el acierto del listado de casos en los que será obligatorio el DPO. “Da más seguridad jurídica que las nociones actividad principal y gran escala”, apunta Álvarez. Villarino añade que, no obstante, es probable que se produzcan muchas consultas a la AEPD respecto a esta cuestión porque, aunque el anteproyecto “parece dar una lista cerrada”, el Reglamento tiene una redacción “muy abierta”. Guillén concluye recordando que muchas otras entidades deberán cumplir con el deber de contratar un DPO a pesar de no estar en listado.
Los derechos contenidos en el anteproyecto.
Los especialistas, asimismo, apuntan algunas ideas en relación a la regulación de los derechos. Javier Guillén considera que la mera remisión al Reglamento en el derecho al olvido –derecho de supresión– “es un tanto escasa y requerirá, posiblemente, de un desarrollo reglamentario, especialmente en lo relativo a las excepciones y límites”.
Villarino, por su parte, cree que introducir en una ley orgánica mayor regulación daría lugar a problemas. El derecho al olvido “se sigue perfilando en la práctica” a través de las aportaciones de las autoridades de privacidad, la jurisprudencia y los operadores privados, razona; “quizás no esté lo suficientemente maduro para haber ido más allá”.
El derecho a la portabilidad es el que plantea mayores dudas para la presidenta de la APEP. Así, si el artículo 20 del RGPD establece que se refiere únicamente a los datos personales que el individuo “haya facilitado a un responsable de tratamiento” –explica–, el anteproyecto amplía el tipo de datos a otra categoría de datos. “Ningún Estado miembro puede imponer más condiciones a lo establecido en el Reglamento”, asevera, “la ampliación de tipo de datos a otras categorías no contempladas en el RGPD tendrá una incidencia por sistema sobre los derechos de propiedad intelectual e industrial de las organizaciones y sus secretos empresariales”.
Álvarez rechaza que pueda emplearse la protección de datos como normas de defensa de la competencia.
Dudas en torno al “interés legítimo”
“El anteproyecto no afronta con suficiente detalle ni aclara el concepto de interés legítimo”, explica Rodrigo González, de EY, que considera que debería haberse abordado cómo se configura la posibilidad de acogerse al interés legítimo prevalente para llevar a cabo un tratamiento con fines de mercadotecnia, como dispone el considerando 47 del Reglamento europeo. Jorge Villarino, de Vinces, razona que se trata de un concepto jurídico indeterminado “y consiguientemente no cabe una definición previa”. “Será necesario atender al caso concreto”, en el que deberán ponderarse los intereses y los derechos o libertades.
Finalmente, Cecilia Álvarez subraya que el anteproyecto contiene –aunque sin invocarlo expresamente– un grupo de supuestos en los que aparece el interés legítimo: los datos profesionales, las operaciones M&A o la solvencia patrimonial. “Es muy positivo que se hayan recogido estos ejemplos muy utilizados por todas o muchas organizaciones”, concluye.
(Texto extraído de la tribuna publicada en el periódico El Economista el pasado 14 de julio de 2017.)