"Propondría trabajar para reconocer y proteger el derecho a la identidad digital"

Entrevista Efrén Díaz Díaz, Asociado Senior del Bufete Mas y Calvet.

- Vemos en su dilatado curriculum profesional que es especialista en Derecho Geoespacial. Podría explicarnos brevemente en qué consiste esta desconocida –para muchos de nuestros lectores- rama jurídica y, a su entender, cuáles son sus principales confluencias con la de protección de datos personales y privacidad.

Considero el Derecho Geoespacial como la disciplina que estudia las implicaciones jurídicas de la geoinformación, de todo ese conjunto de datos y servicios que, de forma directa o indirecta, hacen referencia a una localización o zona geográfica específica.

Su valor jurídico y geoestratégico es enorme, puesto que toda la vida de las personas y empresas se desenvuelve en un lugar geográfico concreto. “Allí donde hay sociedad hay Derecho”. Pero pienso que este aforismo romano puede ser reformulado ya en pleno Siglo XXI para el ámbito geoespacial: “allí donde hay espacio hay Derecho”.

Gracias al actual impulso tecnológico, el Derecho Geoespacial contempla numerosas aplicaciones prácticas para ciudadanos y empresas: desde el Catastro Inmobiliario hasta el Registro de la Propiedad, incluida la infraestructura de datos espaciales para las Smart Cities y el Internet of things y la tecnología de drones (UAV y RPAS). En todos estos campos la protección de la información personal procesada y el respeto de la privacidad de los datos personales es esencial, por tratarse de un derecho fundamental de las personas.

- Hay quien sostiene que el ordenamiento español en materia de protección de datos peca en exceso de celo regulatorio con respecto a los del resto de países de nuestro entorno, y que dicho exceso ha perjudicado y perjudica nuestro desarrollo empresarial. ¿Qué opina de este planteamiento?

En efecto, parece que la regulación española fruto de la Directiva Europea de 1995 se ha podido aplicar en España de manera más intensa y, en algunos momentos, más estricta que en otros Estados miembros de la UE. Pero los principios rectores y los derechos de las personas de la norma nacional son los reconocidos por igual en toda Europa.

Por ello, y porque lo relevante es la efectiva protección jurídica de las personas y, en este ámbito, de sus datos personales, considero positivo que España haya podido liderar estos años la nueva regulación y aplicación de este derecho fundamental a la protección de datos. Además, este derecho ya ha quedado reconocido en toda Europa, y con efecto directo, por el Reglamento General de Protección de Datos (Reglamento 2016/679, de 27 de abril; RGPD).

Actualmente, y quizá sea otro modo de ver más realista, la vigencia del Reglamento 2016/679 confirma que España se encuentra en mejor posición y disposición para salvaguardar el derecho fundamental a la protección de datos, con las adecuadas y efectivas garantías que los ciudadanos esperan y necesitan, lo cual es un valor añadido.

- A su juicio en nuestro marco regulatorio en materia de protección de datos personales y protección de la privacidad ¿qué falta todavía y, de sobrar, qué sobra?

En nuestro marco regulatorio de protección de datos, que en adelante será de ámbito europeo, ha surgido precisamente el “Derecho al olvido”, que prefiero denominar “Derecho de supresión” como hace el Reglamento 2016/679. Su génesis paralela y prácticamente simultánea en las sedes judicial y parlamentaria europeas corrobora no sólo su importancia, sino también la necesidad de regulación que existía en relación con la desindexación en motores de búsqueda.

El nuevo marco que resulta del Reglamento General de Protección de Datos plantea también nuevos desafíos jurídicos, por ejemplo, en materia de transferencias internacionales, y presenta ciertas lagunas, pues sería deseable un marco jurídico más preciso, más detallado para su mejor protección en la práctica, acerca de los datos especialmente protegidos, tales como los relativos a opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud.

- Nos consta que usted es uno de los principales, o al menos de los más reputados, expertos en nuestro país en materia del nuevo Reglamento Europeo de Protección de Datos. A su juicio, y centrándonos en el ámbito empresarial ¿cuáles son las principales dificultades prácticas que entrañará su implementación en mayo del 2018?

El RGPD culmina el esfuerzo de la Unión Europea para adecuar los principios y derechos de la Directiva Europea de 1995 al actual estadio del desarrollo tecnológico. Así, ha puesto particular cuidado de armonizar la protección de los derechos y las libertades fundamentales de las personas físicas en relación el procesamiento de sus datos personales y, a la vez, garantizar la libre circulación de estos datos entre los Estados miembros.

Por ello, uno de los principales retos que comporta la implantación del RGPD es mantener el equilibrio entre la protección de los datos de las personas y la salvaguarda de su circulación en condiciones de seguridad jurídica y también técnica. Entiendo que “protección” no debiera significar bloqueo ni limitación a la libre circulación. Una aplicación restrictiva del RGPD podría no ser competitiva para muchas empresas. De ahí la necesidad de contar en cada caso con el adecuado asesoramiento técnico y legal.

- Ahondando en el tema del nuevo Rglto. Europeo, entre sus principales novedades cabe destacar la creación de la figura del Delegado de Protección de Datos (DPO). Figura ésta que usted ya analizó para nuestro medio en su artículo “El «Data Protection Officer» (DPO) en el nuevo Reglamento General de Protección de Datos” (http://tecnologia.elderecho.com/tecnologia/privacidad/Protection-Officer-DPO-Reglamento-Proteccion-Datos-UE_11_945055002.html) ¿Considera necesaria una regulación adicional para terminar de perfilar jurídicamente el ámbito competencial, funciones y responsabilidades que ha de asumir esta figura?

En efecto, la figura del «Data Protection Officer» es una de las importantes novedades que incorpora el RGPD. La regulación del Reglamento es, como en toda norma jurídica, general y con vocación de continuidad en el tiempo.

Sin embargo, en la práctica y para mayor seguridad de las diversas empresas, entidades y organismos privados y públicos, sería muy adecuado precisar no sólo el ámbito competencial efectivo de la tarea del DPO, sino especialmente la necesaria cualificación profesional exigible a los delegados de protección de datos. Así, las recientes “Guidelines on Data Protection Officers” (WP 243, 13 diciembre 2016) concretan la experiencia y habilidades del DPO y destacan estos aspectos: nivel de experiencia, cualidades profesionales, capacidad efectiva para realizar sus tareas y la posibilidad de contratar un DPO externo por empresas privadas y organismos públicos.

En una materia tan específica como la privacidad, parece que no cualquiera está capacitado sólo por pasar por las aulas de una Facultad de Derecho. Convendría garantizar que el DPO cuente realmente con conocimientos especializados del Derecho y de la práctica en materia de protección de datos, debidamente contrastados y con capacidad profesional acreditada para desempeñar las funciones que le atribuye el RGPD.

- En un reciente estudio llevado a cabo por PwC y la consultora Iron Mountain se encontró que una de cada diez empresas medianas de la UE (un 11%) conservan la información sin tener en cuenta los requisitos legales en cuanto a retención y protección de datos, lo que dificulta, incluso imposibilita, la identificación de información importante que no tienen derecho a conservar indefinidamente. Esta y otras muchas posibles cuestiones que plantean los datos en el área de la salvaguarda de la privacidad, nos llevan a preguntarle sobre si debe o no el legislador crear un estatuto jurídico del dato ¿Cuál es su opinión al respecto?

Antes de regular, quizá convenga clarificar “qué” procede regular y “por qué”. De acuerdo con las principales corrientes internacionales, quizá el centro de atención debiera ser la protección “de la persona”, más que “del dato”. Y así porque en la práctica, además, existen numerosos datos que, incluso siendo personales, pueden no identificar a las personas gracias a las diversas técnicas de anonimización y seudonimización.

Centrada la protección de los datos en la persona titular, ciertamente sí sería interesante y práctico avanzar en el reconocimiento de un nuevo derecho. Así como el “derecho al olvido” o “supresión” nos lo encontramos en un procedimiento judicial, sí propondría trabajar para reconocer y proteger el “derecho a la identidad digital”, distinto pero complementario al derecho a la propia imagen personal, y por ello fundamental y autónomo.

Afortunadamente, algunos países como Italia ya han aprobado su Declaración de Derechos en Internet, y protegen específicamente este importante derecho en el mundo digital: “Toda persona tiene derecho a la representación completa y actualizada de su identidad en Internet” (art. 9).

- El Reglamento trae consigo muchos y profundos cambios. Uno de ellos supone la exigencia de implantar el método del privacy by design en todos los procedimientos y ámbitos de relaciones de cualquier organización, empresa o corporación. ¿Cree que esta necesidad hará del abogado un obligado consultor en materia de privacidad?

Sí, conforme al RGPD, la privacidad por diseño (“privacy by design”), junto a la privacidad por defecto (“privacy by default”), requiere que todo procesamiento de datos garantice la privacidad.

Si los técnicos son necesarios para la creación de servicios o productos que comportan tratamiento de datos personales, los abogados especializados en esta materia seremos necesarios, y desde el diseño, para asegurar el procesamiento legal de la información personal.

Dicho con dos ejemplos, el del “deportivo” y el de la “casa”, quizá resulte más claro. Si la tecnología del deportivo, una vez que está para salir a circulación, revelara al final del proceso de producción, por desconexión de los operarios implicados –como puede ocurrir en entornos digitales complejos-, la falta de “volante” (de “finalidad y proporción”) y de “frenos” (de “necesarias limitaciones”), ¿podría pronunciarse el abogado favorable a la circulación del deportivo? Más nítido aún: si una casa fuera construida sin instalar la canalización de agua potable por diseño (desde el inicio) y por defecto (necesariamente), por ahorro de costes o por falta de planificación, ¿quedará mejor instalar las cañerías por el exterior, al no poder introducirlas en la estructura?

- Y para terminar, querríamos conocer sus impresiones sobre su acreditación oficial como Data Protection Officer y su titulación de posgrado en esta materia. ¿Qué ha supuesto profesionalmente para usted ser merecedor de tan valioso reconocimiento?

La acreditación a través de un máster universitario oficial e internacional me ha permitido adquirir la cualificación necesaria como Delegado de Protección de Datos para los procedimientos de protección de datos, transparencia y acceso a la información, así como para la realización de auditorías de seguridad en esta materia.

Asimismo, ha supuesto un amplio período de formación de posgrado para alcanzar una comprensión más unitaria del ordenamiento jurídico y la necesaria visión interdisciplinar de los problemas jurídicos.

Junto a ello, aprecio la capacidad aprendida para utilizar los principios y valores constitucionales en la interpretación del ordenamiento jurídico. Compatible además con el dominio de técnicas informáticas y de auditoría de seguridad. Igualmente, ha sido enriquecedor desarrollar la capacidad de trabajar en equipo y fomentar la capacidad de creación y estructuración normativa, también en su evolución histórica y en la realidad actual. En definitiva, una excelente oportunidad de aprender con mayor rigor.