Privacidad y protección de datos en un mundo globalizado

Datos Personales, Derechos Fundamentales, Transparencia 9 minutos

Los días 11 y 12 de junio se ha celebrado en el Kursaal de Donostia, el evento: «La actualidad de la privacidad y la protección de datos en un mundo globalizado», organizado por el Instituto Vasco de Administración Pública (IVAP) y el Instituto Europeo de Administración Pública (EIPA), y contando con la colaboración de la Agencia Vasca de Protección de Datos (AVPD).

Primer día

Comenzó el evento con la presentación de Encar Echazarra (Directora del IVAP), Iñaki Vicuña (Ex-Director de la AVPD) y Gracia Vara-Arribas (Coordinadora de Jornadas del EIPA), recordándonos el justo equilibrio entre la protección de datos, la transparencia y el ejercicio de otros derechos como el de expresión o el de información. También se hizo mención a las nuevas iniciativas legislativas desde la Unión Europea en materia de protección de datos, así como los proyectos legislativos sobre transparencia, tanto a nivel estatal, como autonómico.

El evento en sí, se inició con la presentación de Rafael García Gonzalo (Coordinador del Área Internacional de la AEPD) en la que se hacía un repaso al Panorama Internacional de la Protección de Datos y la Privacidad. Los aspectos más relevantes de la exposición fueron:

  • Exposición de los dos grandes modelos a nivel internacional en materia de protección de datos: El modelo de la OCDE y el modelo europeo.
  • Aparición de nuevos actores en la esfera internacional de la privacidad como pudieran ser los países latinoamericanos, paises asiáticos o el norte de África.
  • Necesidad de cambio de los textos internacionales de protección de datos creados en la década de los 80 y 90, con motivo del desarrollo de las TICs y, en especial el Convenio 108 del Consejo de Europa, de principios del año 1981.
  • Repaso de la normativa estadounidense sobre privacidad. Al respecto, nos recuerda el ponente que aunque no existe una legislación «común» a nivel de toda la nación, sí que existen normativas sectoriales (consumidores) o, incluso, a nivel de los estados.
  • Mención, como no podría ser de otra manera, al Borrador de Reglamento europeo en materia de protección de datos y, en especial, el nuevo criterio de aplicabilidad: Tratamientos relacionados con ofertas de bienes o servicios a individuos de la Unión Europea o destinados para monitorizar la conducta de los mismos, por parte de responsables sin un establecimiento permanente en la Unión Europea.

Posteriormente, Iñaki Vicuña (Ex-Director de la AVPD) nos recordó como es la Privacidad en un mundo conectado: Pensar en global y actuar en local. Así, las cuestiones más destacadas, bajo mi punto de vista de su intervención fueron:

  • Es necesario ser conscientes que cualquier tratamiento de información, hoy en día, se encuentra dentro de un mundo globalizado y los sectores públicos y privados deben estar implicados en este mundo. Así, no existe un espacio o ámbito territorial definido, sino que ese ámbito sería «Internet». Nos encontramos ante un «momento crítico» de la protección de datos.
  • Los viejos principios de la protección de datos deben adaptarse a la nueva realidad y, en ello, la Unión Europea está trabajando a través del Borrador de Reglamento de Protección de Datos, que se espera su aprobación a finales de 2013 o principios de 2014. Así, Europa sigue siendo el gran impulsor e inspirador de la protección de datos.
  • Otros países también deben implicarse y en especial, Estados Unidos, «deben cambiar el chip».
  • No sólo es necesario realizar cambios legislativos en la normativa general europea de protección de datos, sino en otras sectoriales también, como la Directiva de Telecomunicaciones.
  • La «vejez» de la Directiva de protección de datos del año 1995, se suple con interpretaciones jurisprudenciales tanto nacionales, como, fundamentalmente, del Tribunal de Justicia de la Unión Europea.
  • Casi para terminar nos respondió a la pregunta ¿que nos espera en protección de datos? Así, no estima necesario la «reinvención» de la protección de datos, sino su mejora y cree conveniente un reforzamiento de las autoridades de control.
  • Por último, y desde un punto de vista sociológico, nos encontraremos con ciudadanos globalizados, con más privilegios «por castas», en materia de protección de datos. Y cada vez nos encontraremos en una sociedad más vigilida y clasificada.
Después de la habitual «pausa-café», Diana Alonso Blas (DPO de Eurojust) y Emilio Aced (Subdirector de la APDCM) nos presentaron «a la limón» el Proyecto de Directiva de Protección de Datos en el ámbito judicial y en el ámbito policial:
  • El Objetivo de este Proyecto es poner reglas en la protección de este tipo de datos y facilitar su intercambio en el ámbito de la Unión Europea, contando con unos principios similares a los principos generales de la protección de datos.
  • Se realizó un sencillo repaso a los derechos de información (y sus excepciones), al derecho de acceso (y sus excepciones) y al derecho de rectificación y supresión.
  • Existen muchas similitudes con el Proyecto de Reglamento de Protección de Datos: Así, también existe la «privacy by design» o la «privacy by default» o la figura del DPO.
  • Se hizo un «barrido» de las diferentes obligaciones: como la obligación de cooperación, la obligación de consulta previa al órgano de control cuando se implanten nuevos sistemas o si existe un riesgo para los derechos y libertades fundamentales, la obligación de seguridad y la necesidad de realización de análisis de riesgos o la obligación de comunicación de violaciones de seguridad.
  • En materia de transferencias internacionales de datos, el régimen es similar al de la «normativa común» de protección de datos, aunque existen algunas diferencias.
Ya en horario de tarde, Esther Mitjans (Directora de la ACatPD) trató el tema de la Protección de Datos y concurrencia con otros derechos:
  • El ejercicio de la protección de datos nos abre «las vías» para poder ejercer otros derechos.
  • Nos recuerda que ningún derecho fundamental es absoluto (incluyendo la protección de datos) y que los límites deben deducirse de la propia Constitución. Es más, los ciudadanos tienen derecho a que ningún derecho sea absoluto.
  • La transparencia y la protección de datos no «están reñidos». Son «dos caras de una moneda». Existe una complementación entre ambos. Debe existir una coherencia entre la protección de datos y la transparencia.
Por último para terminar la primera jornada, Josu Osés (Letrado del Parlamento Vasco) nos habló de Democracia participativa, transparencia y privacidad. En una muy interesante exposición, nos llevó, asimismo, a unas muy interesantes conclusiones:
  • La democracia existente hoy en día está supeditada a nuevos problemas que deben solucionarse con nuevos enfoques: ¿La transparencia puede ser uno de ellos?
  • Legislativamente han existido más desarrollos de la protección de datos que de la transparencia.
  • Si en protección de datos estamos en un escalafón superior, en transparencia estamos muy retrasados. México lleva más de 10 años con una legislación al respecto, Brasil, cuenta con una reciente legislación.
  • Es positivo que ya se cuente con un Anteproyecto de Ley de Transparencia pero es necesario «trabajarlo más». Por poner un ejemplo: El silencio negativo.
  • Es necesario dilucidar si la transparencia es el desarrollo de un derecho administrativo o el desarrollo de un derecho fundamental, ya que la tramitación legislativa cambiará en función de lo primero o de lo segundo. De todas maneras, el actual Anteproyecto supone el desarrollo de un derecho administrativo.
  • Se vuelve a insistir que la transparencia y la protección de datos no «deben estar reñidos». Son dos visiones de una misma realidad.

Segundo día

El segundo día del evento se dedicó al análisis de las implicaciones sectoriales de la nueva regulación europea sobre protección de datos.
Así  Mikel Ogeta (Subdirector de Información Sanitaria de Osakidetza) y Rafael Sánchez Bernal (Director del proyecto Osarean, Osakidetza en Red)  analizaron las Implicaciones en el ámbito sanitario. El primero de los ponentes se refirió a la historia clínica electrónica:
  • El motivo de la historia clínica electrónica viene dado por ser un proyecto estratégico dentro de Osakidetza.
  • Se incorpora la visión del paciente y, se considera que su participación debe ser mayor, sobre todo en pacientes con una mayor cronicidad.
  • Debe existir un equilibrio entre el binomio seguridad-confidencialidad y la accesibilidad-disponibilidad de la historia clínica.
  • En materia de protección de datos existen dos hitos fundamentales: las medidas técnicas y organizativas y la implicación de los profesionales.
  • En los tratamentos que se realizan en la historia clínica electrónica existen derechos y obligaciones tanto para profesionales sanitarios, como para pacientes.
Por su parte, el segundo de los ponentes trató el tema del proyecto Osarean o, la «Osakidetza no presencial»:
  • Se prevé el acceso a datos de la historia clínica por parte de los ciudadanos a través de Internet mediante la denominada «Carpeta de Salud». Asimismo, se está barajando la posibilidad de utilizar aplicaciones específicas en dispositivos móviles y las redes sociales .
  • Se prevé que la información que facilite el paciente a través de Intenet se pueda trasladar a la historia clínica electrónica.
  • Se está trabajando en procedimientos de telemedicina: Asistencia sanitaria a pacientes de manera no presencial, mediante sistemas de video.
  • Se dieron, asimismo, algunos datos del proyecto Osarean: Así desde principios de 2011 se han atendido 1.800.000 solicitudes de manera no presencial y unas 111.000 personas han recibido consejo sanitario no presencial.
  • La conclusión de esta ponencia fue clara: «Debemos hablar de nuevos horizontes en la asitencia sanitaria aprovechando las Nuevas Tecnologías y la protección de datos no debe impedir este desarrollo.»
Después del receso para tomar café, fué el tiempo de Rubén Martínez Gutiérrez (Profesor de Derecho Administrativo de la Universidad de Alicante) y Pilar Irurzun (Responsable del desarrollo normativo de la Administración electrónica del Gobierno vasco) que  revisaron las implicaciones en el ámbito de la e-administración.
El primero de estos ponentes, trató de responder a la siguiente pregunta: ¿Existe una coexistencia pacífica entre Administración Electrónica y Protección de Datos? Los apartados, para mí, de esta «provocadora» exposición fueron:
  • El derecho de los ciudadanos a no aportar datos y documentos que obren en poder de las Administraciones Públicas se encuentra sometido a la normativa de protección de datos, ya que se necesita consentimiento expreso.
  • El ponente consideraba que la interconexión no goza de una cobertura jurídica suficiente.
  • Se ha desaprovechado la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos para establecer una «previsión legal» para el intercambio de datos entre las Administraciones, al estilo de lo que ocurre en otros procedimientos administrativos, como los tributarios o los de la Seguridad Social,
  • Hay que evitar la sobreprotección legal de los datos de los administrados para una mejor eficacia de la administración electrónica.
Por su parte, la segunda ponente, realizó un repaso del nuevo Decreto 21/2012, de 21 de febrero, de Administración Electrónicadel Gobierno Vasco. Así:
  • Un principio fundamental del Decreto es la protrección de datos.
  • Se hizo un repaso a la interoperabilidad como «ejecutor» del derecho a no aportar datos y documentos.
  • Se nos facilitó el dato de que el Gobierno Vasco ha firmado diferentes Convenios de interoperabilidad con la Administración General del Estado, la Administración Tributaria, las Diputaciones Forales y algunos Ayuntamientos.
  • Se mostraron algunos ejemplos de cómo se solicita la interoperabilidad entre las Administraciones y cómo se solicita el consentimiento expreso a los ciudadanos para la consulta de sus datos en otras Administraciones.
Por último, Ricard Martínez Martínez (Catedrático de Derecho Constitucional de la Universidad de Alicante y Presidente de la APEP) trató la Figura del Responsable de Protección de Datos o como mencionó el mismo «Ponga un DPO en su vida». Así:
  • Nos recordó que las Administraciones Públicas deben estar al servicio de los derechos fundamentales y que, entre ellos, se encuentra la protección de datos.
  • El Delegado de Protección de Datos puede realizar evaluaciones de impacto cuando en la organización se implanten operaciones que entrañen riesgos para derechos y libertades fundamentales.
  • La figura del DPO es la de una persona que se ocupa de asesorar en el cumplimiento de la normativa de protección de datos a la organización. Es por ello que no debe tener una función de prohibición.
  • En cuanto al perfil de esta figura, deberá contar con conocimientos especializados sobre legislación y prácticas en materia de protección de datos, con experiencia previa, certificaciones y capacidad para ejecutar las tareas que se le asignen.
  • El Delegado de Protección de Datos supervisará y verificará las políticas de la organización en protección de datos, y servirá de instrumento de relación con las autoridades de control y con los ciudadanos.
  • Por último, se debe ser concientes que el DPO no es un mero «nombramiento», sino que debe existir un compromiso estratégico de la organización.
Espero que los lectores puedan, con este resumen, haber obtenido una visión general de lo que se trató en el evento «La actualidad de la privacidad y la protección de datos en un mundo globalizado».
Las presentaciones de las Ponencias de estas jornadas se pueden obtener en este enlace.

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

http://www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo

Publicado por Gontzal

Especialista en Derecho de las TIC. Colegiado en el Colegio de la Abogacía de Bizkaia. Interesado en todo lo que se cuece en/para/por Internet.

Publicado

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.