Mirando atrás para avanzar en el futuro: cinco años de Reglamento General de Protección de Datos
En la agenda de todos aparece marcado el 25 de mayo, una fecha en la que, tras la plena aplicación del esperado Reglamento General de Protección de Datos, cambiarían los sistemas de cumplimiento, las obligaciones y aparecerían nuevos retos tanto para las empresas, como para las Autoridades y los propios legisladores.
Aquella norma cambiaba la visión sobre la protección de los datos personales, de un modelo reactivo a la necesidad de establecer marcos basados en la proactividad. Aspecto que afectaría tanto a cuestiones relacionadas con la seguridad de los datos, a la consideración de las exigencias normativas (y por tanto de los derechos y obligaciones) en el diseño de los tratamientos, servicios y productos y, en el análisis de los riesgos y su mitigación.
Desaparecían obligaciones que nos habían venido acompañando años, como la notificación de los antiguos ficheros a las autoridades de control, y que, con el tiempo, se vio que no aportaban valor alguno, ni para los responsables ni a los propios ciudadanos cuyos datos e información era tratada, para aparecer otras con miras al futuro y el establecimiento de garantías en el marco de un derecho fundamental y la necesidad de aportar seguridad jurídica a las empresas e instituciones que trataban los datos personales.
Paso aquel final del mundo del 25 de mayo de 2018, es momento de hacer balance de estos cinco años y mirar a los retos que, la propia actualidad ha puesto encima de la mesa de las propias autoridades y el legislador, con la vista puesta en el futuro, los próximos desarrollos normativos, los retos que se plantean y la posible actualización de la normativa europea.
(i) Transferencias internacionales de datos
De un tiempo a esta parte, las transferencias internacionales de datos siguen copan los grandes titulares, junto con la actividad sancionadora sobre esta cuestión de las propias autoridades de control (recientemente conocíamos la sanción a Meta de 1.200 millones de euros, en la que la Autoridad irlandesa también emitía una orden para que, en un plazo máximo de cinco meses, suspendiera las transferencias de datos desde la Unión Europea a Estados Unidos). Este aspecto ha estado presente ha estado presente en otros procedimientos sancionadores, tanto a proveedores tecnológicos, como a las propias entidades que actuaban como responsables del tratamiento.
Si la aprobación de Decisión de Ejecución (UE) 2021/914 de la Comisión de 4 de junio de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países, parecía que venía a aportar una mayor seguridad jurídica, generando un instrumento a la realidad y exigencias del Reglamento General de Protección de Datos, con el tiempo se ha evidenciado que no es un mecanismo infalible o seguro completamente.
Ante las carencias evidenciadas por el propio TJUE y las propias sanciones que hemos venido conociendo, se han venido estableciendo garantías adicionales que debían ser adoptadas por exportadores e importadores de datos. Garantías que, en muchos casos, poco podían influir en los marcos normativos de los Estados donde iban a ser transferidos los datos personales, dentro de su soberanía nacional, tales como la evaluación del nivel de protección de estos países.
Estos aspectos ponían en jaque la utilización de proveedores provenientes de terceros países por parte de los responsables establecidos en la Unión Europea, encontrándose, junto con la potencial sanción económica, la posibilidad de que se decretase el cese del tratamiento de los datos personales, con el impacto que esta medida puede tener, tanto en el modelo de negocio, como en los servicios que son prestados a los propios usuarios.
Este aspecto se complica, aun contando con entidades que se encuentran en países donde se ha reconocido por la Unión Europea un nivel adecuado de protección de datos conforme al estándar europeo, cuando éstas cuentan con proveedores situados en terceros países sin este reconocimiento (bien por no tener una normativa homologada o carecer de ella).
Ante esta cuestión, con otras implicaciones en relación con el propio mercado internacional, la solución se antoja complicada, ya que ésta no está al alcance de las empresas o las propias autoridades, es un problema que debe ser abordado por el propio legislador y los países. La problemática estriba en que, en lo que no llega esa solución (que no vuelva a ser anulada por el TJUE), las sanciones siguen imponiéndose, las limitaciones para las empresas e instituciones y las implicaciones para los propios ciudadanos en relación con los servicios o sus relaciones, siguen copando los medios generando inseguridad jurídica para todos.
Si bien, cualquier tratamiento de datos debe ser garantista con los derechos de las personas, máxime al referirnos a un derecho fundamental, reconocido en la mayor parte de Constituciones Nacionales, la solución no puede, ni debe pasar, por la limitación de los tratamientos dentro de la Unión Europea, la imposibilidad de contratar proveedores que se encuentren fuera o los aspectos que pueden afectar a las propias entidades dentro de su estructura internacional.
Junto con dichas garantías, no puede obviarse la autonomía de la voluntad (eje fundamental de la protección del derecho de las personas sobre sus datos) o la necesaria cooperación entre las autoridades o los países. Estados Unidos acapara las transferencias internacionales en el debate jurídico y sancionatorio, pero existen otros tantos países que le seguirían.
(ii) Deber de información y legitimaciones
Relacionado con lo anterior, otra cuestión objeto que encontramos en parte de los grandes sancionadores (no sólo en España), es la necesidad de adoptar medidas en relación con el deber/derecho de información a las personas sobre los tratamientos de datos personales, siguiendo el espíritu del propio Reglamento Europeo sobre la sencillez del lenguaje y el entendimiento de las consecuencias para las personas derivado de los tratamientos pretendidos.
Este entendimiento es fundamental para proteger los derechos de las personas, por lo que deben fijarse objetivos claros, que diferencien entre la información excesivamente técnica o jurídica y la redacción comercial (que no cumple con las exigencias de la normativa europea y nacional, tal y como se evidencia de las propias resoluciones, en nuestro caso, de la Agencia Española).
Esta obligación es, además, complemento necesario con la legitimación para el tratamiento de los datos. Sobre dichas bases, si bien se ha seguido avanzando en la definición de cuestiones tales como el interés legítimo o sus límites, no está todo dicho aún no por el propio regulador o las entidades, en relación con la necesaria ponderación o aplicabilidad para tratamientos concretos pretendidos.