Conócenos

Ricard Martínez

"Los riesgos para la privacidad se centran más en los principios y en los usos que en la tecnología en sí misma"


Entrevistamos a Ricard Martínez, presidente de la Asociación Profesional Española de Privacidad (APEP), sobre algunas cuestiones jurídicas de máxima actualidad en materia de privacidad.

  • Imprimir

- ¿Cómo surge APEP y cuáles son sus fines?

La Asociación Profesional Española de Privacidad nace como un colectivo de profesionales individuales de la privacidad dispuestos a promocionar colectivamente su profesión y a fomentar el compromiso de las organizaciones con la aplicación de la legislación sobre protección de datos personales y normas conexas.  Puesto que los fines estatutarios de APEP pueden consultarse en nuestra web (http://www.apep.es/quienes-somos/), permítanme que, parafraseando el mensaje bíblico, se nos conozca “por nuestros hechos”.

Desde su nacimiento, APEP se ha convertido en referente para la defensa de una profesión de la privacidad caracterizada por el rigor y la confiabilidad. Hemos apostado fuertemente por mantener una posición de neutralidad institucional y centrado nuestros esfuerzos en tres pilares: presencia pública de la profesión, formación y acreditación. El Congreso Nacional de Privacidad constituye un referente de contenidos más allá de nuestras fronteras y la constante actividad de nuestros asociados nos ha permitido abordar recientemente y en distintos lugares del territorio nacional cuestiones tan complejas como la videovigilancia, el impacto de las tecnologías vinculadas a las smart cities o big data que revierten en la comunidad a través de nuestro canal en VIMEO.  Hemos propuesto a la sociedad, y a los profesionales un rigurosísimo plan de formación apostando por la calidad en los contenidos. Asimismo hemos planteado un modelo de certificación de capacidades caracterizado por su gestión independiente. Todo ello avalado por un Consejo Asesor integrado por personalidades de reconocido prestigio. 

Por otra parte, el compromiso social de las personas que integran APEP ha rendido frutos a través del trabajo de la Comisión de Menores, y de nuestra participación en el Foro Nacional de la Confianza Digital, el Grupo de Trabajo Público-Privado de Menores e Internet de Red.es, o la Subcomisión de Redes sociales de la Comisión de Interior del Congreso de los Diputados.

- Hay quien sostiene que el ordenamiento español en materia de protección de datos peca de exceso celo regulatorio con respecto a los del resto de países de nuestro entorno, y que dicho exceso ha perjudicado y perjudica nuestro desarrollo empresarial. ¿Qué opina de este planteamiento?

En mi opinión, quiero subrayar que personalmente, no hablaría exclusivamente de exceso regulatorio sino más bien de "medio ambiente regulador”. Como profesional he tenido la oportunidad de estar o colaborar en todos y cada uno de los ámbitos que influyen en esta materia, -Gobierno, Agencia Española de Protección de Datos y práctica profesional-, excepto en el judicial. Por otra parte, he dedicado por completo mi trayectoria investigadora desde mi tesis doctoral a esta materia. Desde entonces, 2004, defendí con una aproximación crítica a la autodeterminación informativa cómo algunos aspectos de la regulación eran ineficientes y singularmente el consentimiento. Pero sobre todo me preocupó cómo se había reproducido en el mundo del Derecho un fenómeno de la física convirtiendo a la LOPD en un vórtice, en un agujero de gusano que ejerce su fuerza gravitatoria no ya sobre todos los derechos del artículo 18 de la Constitución, que a veces desgraciadamente se confunden con él, sino sobre el entero Ordenamiento. Y este es el primer peligro de nuestro sistema, una peligrosa interpretación del Ordenamiento desde la LOPD que huye de un elemento esencial desde Savigny como es el de la apertura de la interpretación jurídica al conjunto del Ordenamiento, de un modo sistemático, armónico e integrador.

Y ello hace que en muchas ocasiones, incluso en presencia de intereses vitales, el operador se pare a pensar y decida no hacer según qué cosas por si acaso, o que el consentimiento no sea una misma cosa en una ley autonómica o al menos no sirva, o que directamente se excluya la eficacia jurídica de ciertos criterios cuando se enfrentan a la protección de datos. Pero no solo eso, de la mano de la teoría general del derecho fundamental a la protección de datos, nuestros más altos tribunales han afirmado que puede relajarse el derecho al secreto de las comunicaciones de los trabajadores, sin dedicar ni un segundo a considerar en que cuando se envía un mensaje hay un emisor y un receptor y en los derechos de aquel interlocutor no relacionado con la empresa.

Pues bien, a esta complejidad interpretativa se une un régimen sancionador muy gravoso aplicado, según los casos, en un abanico de posibilidades que va del apercibimiento a las muy frecuentes multas de 6.000 o 60.000.-€. Con un límite en 600.000.-€, y con unas administraciones exentas de sanción económica, se generan asimetrías significativas. Muchas de nuestras empresas se enfrentan a un miedo paralizante a incumplir, otras directamente han incorporado las multas a su estructura de costes. Y si Vd. lee uno a uno los resultados y los efectos públicos de cada una de las Memorias del regulador, apreciará cómo este es el argumento principal y cómo año a año se mantienen tanto el importe global y medio, con repuntes sostenidos a la baja, y los sectores afectados. No encontrará titulares de prensa que hablen de la “LOPD como oportunidad”, ni tampoco de una privacidad marca España como ventaja competitiva.

Nuestra economía necesita de un cambio de rumbo basado en la proactividad, en interpretaciones abiertas y flexibles garantes a ultranza de los derechos fundamentales, pero compatibles con el desarrollo de la sociedad digital. No es posible ni viable que cada sector deba interpretar la ley, jurisprudencia, resoluciones o informes como si se tratase de arcanos solo entendibles para iniciados, no es aceptable que se ofrezcan soluciones monistas ancladas en una lectura positivista de la norma. Necesitamos un enfoque proactivo, directo y funcional que armonice los intereses en presencia con la lógica prevalencia del derecho fundamental a la protección de datos, pero este no puede ser como una de esas plantas frondosas que cuando crecen matan cualquier brote bajo sus hojas.   

- A su juicio en nuestro marco regulatorio en materia de protección de datos y protección a la privacidad ¿qué falta y qué sobra?

Me perdonará el lector por el anglicismo pero le falta “guidelines”, “guidelines” y además “guidelines”. Y no cualquier guía, guías aplicativas abiertas al conocimiento profundo de la realidad sectorial, y no solo jurídica sino también materialmente. Le sobra teorización, en el peor sentido que se le pueda dar a esta expresión, y aislamiento de la realidad. Se lo ilustraré con una anécdota reciente. En una entrevista en una universidad británica se cuestionaba a un aspirante al doctorado respecto de a qué quería dedicar su investigación. La persona candidata inició entonces un discurso sobre teoría general de la privacidad que fue cortado de raíz. Su entrevistador quería algo más sencillo, pero sin embargo demoledor: dígame Vd. que pregunta quiere resolver.

Tenemos un marco jurídico envidiable, exigente, hiperprotector, pero pagamos el precio de una interpretación rigurosa, desde un enfoque teórico muchas veces alejado de soluciones eficientes. ¿De verdad cree Vd. que la normativa sobre cookies protege a alguien?  

- Hace un año el Tribunal de Justicia de la Unión Europea (TJUE) dictó la resolución conocida popularmente como “sentencia del derecho al olvido de datos personales en Internet”. Un año después de dictarse el fallo ¿cuál es la valoración que le merece la sentencia?

Desde un punto de vista profesional es una cuestión descontada, carece de novedad alguna y en muchas ocasiones no se entiende la recurrente vuelta a este tema. Por otra parte, permítame decirle que lo que desde luego ha sido un extraordinario acierto es la denominación. Hablar de derecho de oposición o cancelación según los casos, carece de atractivo. Por otra parte, las sucesivas versiones de la Propuesta de Reglamento general de protección de datos han acotado la cuestión de un modo técnico bastante preciso.

Donde en realidad la sentencia es apasionante es en un doble plano. Primero, en el despliegue teórico desarrollado para establecer criterios de aplicación de la norma europea. En segundo lugar, lo realmente relevante a mi juicio es que con esta sentencia y con el caso Digital Rights Ireland el Tribunal de Justicia materialmente actúa como un juez constitucional y esto es extraordinariamente interesante.

Por último, permítame que lance a la comunidad una pregunta. El TJUE ha dicho que un buscador es un responsable, que existe un tratamiento y que puede ejercerse un derecho de oposición. Lo que se le preguntaba. ¿Pero qué ocurre con lo que no se preguntaba? ¿Tienen Vds. idea sobre cómo se informará en la recogida de los datos o ya les damos de oficio la excepción del artículo 5 LOPD? Y si la Audiencia Nacional equiparó una web a un fichero al gozar de estructura, ¿el índice de búsquedas es o no un fichero? Y si yo hice manifestaciones de mi ideología, hasta que tengamos un nuevo Reglamento, ¿cómo obtiene el buscador mi consentimiento expreso y escrito? En resumen, ¿no les parece harto difícil que un buscador pueda cumplir con otra obligación que la del derecho al olvido?      

- Desde la perspectiva de la protección jurídica de la privacidad ¿podría señalarnos cuáles son los principales riesgos que trae consigo el Internet de las cosas?

Si, no tengo inconveniente en plantearle a Vd. los riesgos. ¿Hablamos antes de posibles ventajas como ciudades menos contaminadas y con un mayor índice de seguridad vial? ¿Hablamos de ahorro energético y gestión inteligente del agua y reducción de las fugas? ¿Hablamos de monitorización de enfermos crónicos?...

En mi opinión el enfoque debería centrarse en cómo podemos obtener todos estos beneficios con tecnologías respetuosas con la privacidad y en cómo nos ponemos al lado de los innovadores y les proporcionamos herramientas para que un modelo 100% privacy compliance sea posible. Si hacemos lo contrario, si demonizamos el Internet de las cosas aterrorizando a la población con males sin fin solo conseguiremos tres cosas: hacer huir el talento de España, disuadir del aterrizaje en nuestro país de empresas de base tecnológica, quedarnos en el furgón de cola de la economía digital.

Y dicho esto los riesgos para la privacidad se centran más en los principios y en los usos que en la tecnología en sí misma. Verá, que mi reloj me pase los mensajes de WhatsApp, mida mis pasos y mi tensión arterial no es intrínsecamente malo. Le prometo que me fascinan estupideces como responder verbalmente, o cambiar de esfera cada mañana. Lo malo es si mi proveedor guarda activamente sin mi consentimiento la geolocalización, guarda los datos durante un año y mi aseguradora rescinde el contrato debido a mi más que público sedentarismo. Debemos ocuparnos de esta cuestión, debemos dialogar con los innovadores para que inserten en su ADN la privacidad, y si pese a este diálogo son reluctantes debemos actuar sin que nos tiemble el pulso, porque el riesgo está en las personas.

- ¿Qué opinión le merece la cuestión de la admisibilidad en Derecho de la renuncia a la privacidad por defecto en la instalación de las APPS, cuando decidimos aceptar la descarga de las mismas en nuestros smartphones o tablets?

Permítame una afirmación de principio. Quiero pensar que quien ofrece una APP diseña un marco de cumplimiento normativo respetuoso y que quien la descarga debería saber que su obligación está en leer.

Volviendo a lo que le planteaba más arriba aquí es donde opera con toda su fuerza la llamada falacia del consentimiento. Verá, yo podría preguntarle a Vd. sobre qué le parece que una persona se desnude para una revista a cambio de dinero. Y con toda seguridad Vd. me diría, bueno es su imagen puede disponer de ella y ha firmado un contrato. Y tendría razón. Y esta es la cuestión. Tome Vd. de cualquier APP las políticas de privacidad, los términos y condiciones de uso disclaimers incluidos, las condiciones del proveedor que a veces las hay y las exenciones de responsabilidad. Cópielas juntas y verá cómo lo que le sale tiene un nombre muy antiguo en Derecho: es un contrato. Solo que es un contrato donde la contraprestación no consiste de un pago, es un contrato de pay for privacy. Pero no dude, que el usuario está contrayendo libremente una obligación bilateral y sinalágmatica.

Así que desde un punto de vista teórico yo le podría decir que me parece correcto. Sin embargo la cuestión no es tan sencilla. Mientras que en el ámbito “normal” del Derecho del consumo la legislación trata de corregir las asimetrías en la negociación con derechos al desistimiento, a la elección de fuero o la compensación por el funcionamiento anormal; mientras que en este ámbito la legislación regula con cierto rigor la nulidad de las cláusulas abusivas en el uso de condiciones generales, aquí solo nos asiste la normativa sobre protección de datos. Y esta normativa es pobre, ineficiente, no pensada para regular un mercado, -el de la privacidad-, infradotada en los medios de tutela administrativa y compleja de aplicar.

Así que lo que no parece de recibo no es la admisibilidad o no de estas cláusulas, sino una regulación y un modo de aplicarla centrada en el tratamiento y no en la relación jurídica subyacente: alguien está dispuesto a ofrecer un producto a alguien cuyos datos personales piensa explotar. El valor de mercado de esos datos, y las consecuencias y condiciones de su explotación se le escapan al usuario. Y justo esto es lo que deberíamos regular y acotar de modo justo para todas las partes.  Por ejemplo, en ninguna norma se fijan las reglas de fair play al informar, se dice “sobre qué” pero no se asocia ninguna consecuencia a prácticas procedimentalmente engañosas.      

- En materia de drones, se ha hecho público recientemente el Dictamen de las autoridades europeas de protección de datos, también conocidas como el Grupo de Trabajo del artículo 29 (GT29), emitido sobre el riesgo que el uso de estos artefactos genera en el ámbito de la privacidad y la protección de datos. A su juicio, a la hora de acometer el próximo y ya anunciado desarrollo del Real Decreto-Ley 8/2014, de 4 de julio, que regula en España el uso de los drones, ¿hasta qué punto el legislador español debe atemperar su celo regulatorio en materia de protección de la privacidad con respecto a la salvaguarda de los también legítimos intereses que las empresas tecnológicas españolas tienen depositados en este nicho de negocio que supone una oportunidad sin igual para el desarrollo puntero y creación de empleo que tanto necesita en estos momentos nuestro país?

Sinceramente le diré lo que no debería hacer el legislador. No debería incluir una disposición adicional diciendo aquello de que si con motivo del uso del drone se captan o tratan datos personales se aplique la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Hay demasiadas cosas que aclarar.

En primer lugar, hay que integrar el concepto y uso de los drones con las llamadas videocámaras móviles de la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos. Cuando esta norma regula su uso prohíbe la captación de imágenes en el interior de viviendas incluidos patios y zaguanes. Eso, por ejemplo, puede plantear muy serias restricciones en cuanto a la altura de vuelo de un drone y/o la zona que capta, ya que podría captar patios interiores. Otro tanto sucede con su uso en el marco del Real Decreto que específicamente regula el uso de instalaciones de videovigilancia en espectáculos deportivos.

Pero hay más cuestiones. Hay que integrar esta materia con la Ley de Seguridad Privada y determinar qué sucede en ámbitos donde funcionalmente podrían ser útiles como urbanizaciones cerradas, polígonos, instalaciones integradas en planes de seguridad nacional, o espacios como universidades con campus cerrados. Aquí acotar el concepto de vía pública será una cuestión nuclear. Pero no solo esto, a día de hoy la Agencia Española de Protección de Datos mantiene su aproximación a la videovigilancia como una tecnología que no requiere normativamente la presencia de una empresa o vigilante de seguridad. A mí personalmente, que alguien use un drone sin cualificación técnica en materia de seguridad no me ofrece mucha confianza.

Una última cuestión se refiere al uso recreativo que nos obligará a establecer muchos matices y generará una enorme casuística. ¿Es menos lícita la fotografía o el video tomado desde un drone que la que grabamos desde la cima de la montaña o lo alto del edificio? Es muy complicado regular ad casum, pero parece llegado el momento de tomar al menos una de dos determinaciones.

O bien se hace uso de la habilitación reglamentaria que ofrece la Ley de videovigilancia y/o en el marco de la seguridad privada se acotan estas cuestiones. O bien la avejentada, y en algunos aspectos ineficiente Instrucción 1/2006 se revisa como por otra parte ya están haciendo algunas autoridades de protección de datos como la argentina.  

- ¿Qué ventajas reporta a los abogados y resto de profesionales del mundo del Derecho interesados en la privacidad y el área de protección de datos formar parte de APEP? En definitiva, ¿por qué deberían asociarse?

Verá Vd., ser parte de un gran proyecto, compartir un sueño. Pero seamos prácticos, una persona asociada de APEP recibe cada lunes un completo dossier de actualización con normativa, jurisprudencia, resoluciones, bibliografía, documentos nacionales e internacionales y agenda entre otras cuestiones. Por otra parte, dispone de un plan de formación continuada verificado por un Comité Asesor independiente. Puede certificar y acreditar sus capacidades. Y sobre todo encuentra un contexto de interacción continua con compañeros de profesión que le permite crecer.

Por otra parte, el sector profesional se enfrenta a un reto de grandes proporciones. Si la tramitación de la Propuesta de Reglamento general de protección de datos sigue su curso en su versión actual será cada Estado Miembro quien decidirá bajo qué condiciones regula la figura del delegado de protección de datos. La Asociación Profesional Española de Privacidad está dedicando un enorme esfuerzo internacional a esta materia como miembro fundador de la  Confederation of European Data Protection Organisations. Nuestros fines, y sobre todo el trabajo desarrollado, nos mueven a ser el interlocutor de referencia en esta materia ante el Gobierno de España, y cuantos más profesionales se integren mayor será nuestra capacidad de acción.  

-----------------------------------------------------------------------------------------------------------------------------

El entrevistado desea hacer constar de algún modo que aquellas cuestiones que comportan manifestación de una opinión jurídica se responden desde un punto de vista absolutamente personal y en ningún caso expresan una posición pública de la Asociación Profesional Española de Privacidad. 

Widgets Magazine

Comentarios jurisprudenciales

CASE STUDY & MASTER CLASS

ebook gratuito

LOPD EN DESPACHOS DE ABOGADOS

  • Caso práctico: absorción o adquisición del despacho por otra entidad

    Tanto el despacho como persona jurídica, como los integrantes del mismo, los terceros a los que se ceden esos datos, y aquellos que prestan servicios al despacho y tienen acceso a datos de carácter personal, están obligados al secreto y al deber de guardar esos datos, 

  • Caso práctico: Lexnet

    El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar.

  • Caso práctico: almacenamiento de información

    Como decimoctava entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados, hoy les mostraré un caso práctico sobre almacenamiento de información personal y las ventajas del despacho digital.

ENTREVISTAS

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

feedburner

Reciba LAW & TIC de forma gratuita.

GESTIÓN DE DESPACHOS

  • ¿Por qué es importante implementar el marketing en una empresa de servicios jurídicos?

    Hoy en día, el mercado legal está inmerso en una etapa de dinamismo que se está llevando a cabo a través de numerosas integraciones y/o fusiones entre despachos de diferente perfil que lo que buscan es crear una marca más sólida con la que poder prestar un servicio más completo a sus clientes.

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17