Las cuatro claves de la Protección de Datos
Información, Consentimiento, Derechos y Legalidad son los cuatro pilares de la Protección de Datos
Según el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea (2000/C 364/01), “toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan”.
Añade el punto 2 de este artículo que “estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley”.
Y remata finalmente con el punto 3, que garantiza que “toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación”.
Por lo tanto, sin perjuicio de otras obligaciones administrativas, excepciones, y numerosas particularidades, la Protección de Datos es un derecho fundamental que se sostiene sobre cuatro claves principales:
Información
Este es el auténtico pilar central de toda la protección de datos. Sin información, no se pueden establecer los fines concretos que exige la Carta de los Derechos Fundamentales, ni se puede obtener un consentimiento válido del interesado.
Siempre que alguien facilite un dato personal, debe saber a quién se lo está dando y para qué. Tan sencillo como eso.
Sin embargo, las sucesivas normas europeas y nacionales que han desarrollado este derecho han ido complicando la información que debe ofrecerse, amenazando con cuantiosas multas a todo aquel que se deje una coma o un punto.
De esta forma, algo que podía haber sido tan sencillo como “TE VOY A ENVIAR PUBLICIDAD” acaba convirtiéndose en un manifiesto jurídico difícilmente comprensible para sus legítimos destinatarios, dando origen a una de las dos mentiras más grandes de Internet: “HE LEÍDO LA POLÍTICA DE PRIVACIDAD”
Consentimiento / Base Legal
Si no existiesen excepciones al consentimiento, resultaría adecuado vincular esta clave con la anterior.
Sin embargo, existen multitud de obligaciones legales, contractuales y otras situaciones que obligan o requieren tratamiento de datos personales. Y como el consentimiento, por definición, tiene que ser libre, no se puede dejar todo al consentimiento del interesado.
Sin embargo, tendemos a abusar del consentimiento cuando no siempre es “necesario”.
¿Por qué? Pues sencillamente, porque en los casos dudosos (y hay muchos… muchísimos), quien decide si las excepciones al consentimiento son aplicables o no es la autoridad de control (la AEPD en España), provocando dilaciones inasumibles, diferencias de criterio, etc.
Y, de esta forma, se da origen a la segunda mentira más grande de Internet “ACEPTO LA POLÍTICA DE PRIVACIDAD”.
Derechos
Una vez que ya estamos tratando los datos legítimamente (o ilegítimamente… que también pasa), el interesado tiene una serie de derechos que han ido cambiando con el tiempo.
Como hemos visto, la Carta Europea sólo menciona el derecho de acceso y el de rectificación, pero las distintas normativas han ido incrementando esos derechos hasta llegar a la actual lista, definida por el Reglamento General de Protección de Datos: Acceso, Rectificación, Supresión, Oposición, Limitación y Portabilidad.
En España estamos de luto porque ya no podemos seguir utilizando el famoso acrónimo ARCO, que representaba los derechos de Acceso, Rectificación, Cancelación y Oposición derivados de la derogada Directiva 95/46. Y, al menos, hasta la fecha a nadie se le ha ocurrido ningún otro acrónimo que cubra este vacío. Una muestra evidente de la desconsideración del Parlamento Europeo, que tras 4 años negociando el RGPD, no cayeron en esto.
Lealtad / Legalidad / Justicia
Aunque la Carta habla de lealtad (concepto un poco complicado de incardinar en esta materia), realmente se refiere a que los datos sean tratados de forma legal o justa (de hecho, en inglés el artículo 8.2 de la Carta dice “Such data must be processed fairly”).
Y aquí tenemos el cajón de sastre (y a veces desastre). Aquí entran desde las “adecuadas” medidas de seguridad, hasta los contratos de encargo de tratamiento, pasando por el registro público (o ahora interno) de ficheros o procesos de tratamiento, la designación de determinadas figuras como el Delegado de Protección de Datos, las Evaluaciones de Impacto, las Consultas Previas, o la Privacidad por Defecto o desde el Diseño.
En definitiva, la protección de datos es un claro ejemplo de complicar hasta el extremo algo que debería haber sido mucho más básico, sencillo y evidente.
Los ciudadanos no expertos en esta materia, no llegan a imaginar las complicaciones y los riesgos que genera a una empresa del montón poner un formulario en una página web. Y si lo imaginaran, probablemente no sentirían su intimidad más protegida.
José Carlos Moratilla
Responsable del Departamento Legal