“No es de extrañar que Alphabet (Google) ya no hurgue en nuestros correos electrónicos personales para mostrarnos anuncios personalizados: ya sabe todo de cada uno de nosotros y puede prescindir de más información (…) Es decir, en la medida en que el entorno normativo se vuelva más problemático y/o el mercado publicitario se desacelere (…) la compañía tendría un modelo de negocio muy robusto: vender ‘servicios inteligentes’ (IA), tanto a ciudadanos como a gobiernos”

(Evgeny Morozov, Capitalismo “Big Tech” ¿Welfare o neofeudalismo digital? Enclave, 2018 pp. 23-24)

¿Por qué una nueva regulación europea?

La necesidad objetiva de la nueva regulación europea en materia de protección de datos de carácter personal surge del propio contexto tecnológico y de su evolución en las dos últimas décadas. En efecto, en los años transcurridos desde 1995 (fecha de aprobación de la Directiva) a 2016 (fecha de entrada en vigor del Reglamento) la digitalización y la revolución tecnológica, así como la globalización de los propios datos, ha generando nuevos e importantes retos para la protección de los datos personales y, en particular, para los derechos y libertades de los ciudadanos. Y nada sabemos con certeza, aunque lo intuyamos, sobre qué pasará en un futuro mediato. Innumerables incógnitas, incertidumbres y no menos perplejidades rodean el desarrollo de la automatización, de la inteligencia artificial y del Big Data (por no hablar de los ordenadores computacionales, que anuncian el fin de la privacidad) a escala aún desconocida.

La aceleración de los procesos tecnológicos y su impacto sobre los datos personales es, hoy en día, una realidad incontestable, que irá creciendo cada vez más, por lo que está nueva regulación no solo se dicta para afrontar los retos del presente, sino en especial los grandes desafíos del futuro en materia de protección de datos y de garantía de los derechos y libertades de los ciudadanos, ámbitos que en estos momentos está siendo objeto de una erosión nunca conocida hasta la fecha. El riesgo que se corre es que llegue tarde o que pronto se quede corta, sobre todo por las dificultades de adaptación que el marco regulador europeo presenta.

La manipulación de datos personales con fines absolutamente espurios (recuérdese el reciente caso Cambridge Analytica) afecta principalmente a las grandes compañías tecnológicas, pero advierte claramente de una tendencia ya fuertemente arraigada de mal uso de los datos personales por las grandes compañías tecnológicas (en régimen de cuasi monopolio global) y empresas de intermediación. En este acelerado contexto, el papel del Sector Público y, particularmente, de la Administración Local, adquiere un rol de gran importancia para preservar los derechos y libertades de la ciudadanía. La protección de los datos personales que maneja cotidianamente cualquier nivel de gobierno se transforma en un reto de alto valor democrático.

La idea está perfectamente expresada en el Considerando 6 del RGPD:

“La rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales. La magnitud de la recogida y del intercambio de datos personales ha aumentado de manera significativa. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades. Las personas físicas difunden un volumen cada vez mayor de información personal a escala mundial. La tecnología ha transformado tanto la economía como la vida social, y ha de facilitar aún más la libre circulación de datos personales dentro de la Unión y la transferencia a terceros países y organizaciones internacionales, garantizando al mismo tiempo un elevado nivel de protección de los datos personales”

 

¿Cuáles son los motivos por los que se ha derogado la Directiva de 1995 y se ha aprobado el Reglamento de 2016?

La derogación de la Directiva 96/45/CE y su sustitución por el RGPD no es una operación normativa menor. El cambio de instrumento regulador obedece a razones de contexto y a la necesidad objetiva de establecer un Reglamento que, como es sabido, tiene un alcance general, es obligatorio en todos sus elementos y directamente aplicable.

Su entrada en vigor se produjo a los veinte días de su publicación en el DOUE, pero su plena aplicabilidad es a partir del 25 de mayo de 2018 (artículo 99 RGPD).

En los Considerandos 9 a 13 del RGPD se explicitan cuáles han sido los motivos que han justificado el cambio de instrumento normativo. Entre los que caben citar los siguientes:

• La aplicación de la Directiva 1995 ha sido fragmentaria y desigual, mientras que los riesgos para la protección de datos son cada vez mayores.
• Se quiere garantizar un nivel uniforme y elevado de protección de datos personales, y que sea además equivalente en todos los Estados miembros. La aplicación de las normas de protección de datos se pretende que sea coherente y homogénea.
• La protección efectiva de los datos personales exige reforzar las obligaciones de quienes los tratan, reconocer poderes equivalentes para supervisar y garantizar su cumplimiento, así como que las infracciones se castiguen con sanciones equivalentes.
• Hay base jurídica para esta regulación en el artículo 16. 2 del TFUE. Aunque el derecho fundamental ya estaba recogido (luego trasladado al propio TFUE) en el artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea.
• Era, por tanto, necesario regular esta materia por un Reglamento que proporcionara seguridad jurídica y transparencia.

 

El nuevo marco normativo del RGPD como cambio de paradigma

Este punto requiere un desarrollo algo más detenido. En efecto, la nota distintiva del actual marco normativo (RGPD-futura LOPD) frente al vigente hasta ahora (Directiva-LOPD) reside en transitar desde un modelo reactivo a un modelo proactivo o centrado en el “enfoque de riesgos”.

En cierta medida se puede afirmar que se traslada a la protección de datos de carácter personal (aunque con algunas limitaciones, según se verá) la política de compliance, en la que la dimensión preventiva o anticipadora es una de las claves de bóveda del modelo que se pretende construir.

Como se ha venido reconociendo, también por la AEPD, en verdad se ha producido un auténtico cambio de paradigma en el modo y manera de gestionar los datos personales con innegables consecuencias.

En esta lógica encuentran pleno sentido diferentes instrumentos o instituciones que se articulan dentro de lo que se podría denominar como un nuevo modelo institucional y de gestión de las protección de datos en las organizaciones públicas, que descansa principalmente sobre los siguientes ejes de nueva configuración:

1. Nuevo rol o nuevo marco de responsabilidades del responsable y del encargado de tratamiento de datos
2. Registro de las actividades de tratamiento.
3. Obligaciones específicas vinculadas con la seguridad (breach data)
4. Análisis de Riesgos en el tratamiento.
5. Evaluación de impacto de las operaciones de tratamiento.
6. Implantación de la figura del Delegado de Protección de Datos (preceptiva en las administraciones públicas)
7. Códigos de conducta y mecanismos de certificación
8. Reforzamiento del papel de las autoridades de control (adpCAT/AEPD/AVPD)

No acaban aquí los elementos de esa nueva arquitectura del modelo institucional y de gestión de protección de datos, pero tales aspectos se abordarán puntualmente en otros pasajes de esta Guía.

En cualquier caso, ese nuevo enfoque tiene ya algunos impactos evidentes. Por ejemplo:

• Decae la obligación de notificar a las autoridades de control la existencia de ficheros automatizados.
• Pierde sentido, al menos con carácter general (con la posible salvedad del ENS), la diferenciación entre niveles de protección alto, medio y bajo, establecidos en la normativa en vigor.

IDEA-FUERZA:

Ante la constante evolución tecnológica y los procesos de transformación digital que sufren las actividades de tratamiento de datos personales, la reforma de la regulación de protección de datos supone un cambio del modelo tradicional para afrontar las medidas que garantizan la protección de datos personales hacia un nuevo modelo más dinámico, enfocado en la gestión continua de los riesgos potenciales asociados al tratamiento desde su diseño”

(AEPD, Guía práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD)

http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2018/notas_prensa/news/2018_02_28-ides-idphp.php

NOTA: El presente texto es un extracto de un Manual-Guía sobre el impacto del RGPD en las Administraciones Locales, que se editará en las próximas fechas.