Entradas

Protección datos personales y publicidad del dato de la obtención de la exoneración del pasivo. (A propósito de la sentencia del TJUE de 7 de diciembre de 2023)

El fundamento del régimen de segunda oportunidad o de exoneración del pasivo insatisfecho (en adelante, EPI) para empresarios insolventes es permitir que el fracaso empresarial no se convierta en un estigma y la mala suerte no suponga una condena a la exclusión social del deudor. Por eso desde la UE a través de la Directiva sobre reestructuración e insolvencia (DRI) se pretende que el deudor de buena fe obtenga una exoneración PLENA de su pasivo y pueda volver a empezar una nueva aventura empresarial creando puestos de trabajo. Así lo regulan los arts. 486 y siguientes del Texto Refundido de la Ley Concursal (en adelante TRLC) que hemos analizado ya en el blog aquí, aquí y aquí.

Sobre el papel todo es muy bonito, pero la realidad es otra. Si queremos que un empresario pueda reiniciar una nueva actividad es preciso que pueda acceder a financiación y no sufra exclusión financiera. De nada valdrá la exoneración si ningún banco se atreve a volver a concederle crédito. Se necesita una “segunda oportunidad financiera”, tema que me ha interesado mucho y al que he dedicado atención anteriormente.

Por ello, resulta bastante oportuno preguntarse acerca de la publicidad del dato de la EPI. Todo el mundo comprenderá que si proclamamos “a los cuatro vientos” que el empresario “X” ha fracasado en su actividad y que los acreedores se han quedado sin cobrar, parece lógico ningún banco quiera volver a confiar en él. Con todo, lo cierto es que la obtención de la exoneración es en principio un dato mixto: es negativo porque publica un fracaso y es positivo porque evidencia una reducción del pasivo del deudor que se ha visto liberado de gran parte de su deuda, aunque para ello bastaba suprimir los datos negativos de morosidad.

Por lo tanto, la obtención de la exoneración produce dos tipos de publicidad:

Primero.- La supresión de los datos de morosidad o datos negativos de solvencia que algo que puede mejorar el ratingcrediticio. La reciente reforma concursal ordena a los acreedores afectados que comuniquen la exoneración a los sistemas de información crediticia en donde apareciera anunciado el impago. Realmente no se trata de publicar el dato de la exoneración, sino de cancelar el dato de morosidad gracias a la obtención de la exoneración.

A pesar de que el deudor tiene legitimación para instar la rectificación/supresión del dato de morosidad en el caso de que obtenga el EPI (arts. 16 RGPD[1] y art. 14 de la LOPD y GDD) y el de supresión (art.17 RGPD y 15 LOPD y GDD[2], ordenar a los acreedores a que lo hagan, facilita la modificación pues realmente son éstos los que aportan el dato y son responsables de su exactitud.

Segundo.- La publicidad del dato de haber obtenido la exoneración del pasivo.

Hay dos momentos en los que se publica el dato de la exoneración:

  • Cuando el deudor se ha acogido a la exoneración a través del cumplimiento del plan de pagos. En tal caso, el juez concede la exoneración provisional cuando aprueba el plan y transcurrido el plazo legal (3ó 5 años en su caso) se decreta la exoneración definitiva cuando tal plan se ha cumplido. Pues bien, la ley regula de manera expresa la necesidad de publicar el dato de la exoneración provisional durante el plazo de duración del plan (art.495 TRLC). Según dicho precepto, el deudor que se acoge al plan de pagos debe aceptar que la concesión de la exoneración provisional se haga constar en el Registro público concursal durante el período que dure el plan de pagos.

Por lo tanto, mientras el deudor está cumpliendo el plan de pagos, este dato es público por lo que malamente podrá volver a endeudarse, algo que además es lógico y bueno para el deudor.

  • El segundo caso en el que se plantea la publicidad de la exoneración es cuando el deudor obtiene la exoneración definitiva tras el cumplimiento del plan de pagos o tras la liquidación o sin ella cuando se trate de concurso sin masa.

En tales casos, la ley (arts. 500 y 561.3TRLC) ordena la inscripción de la resolución sobre la concesión de la exoneración definitiva en el Registro público concursal. También se publicará la eventual revocación de la exoneración, caso de que se produzca. Hay que recordar que se trata de un registro público que carece de las restricciones de acceso que tienen los sistemas de información crediticia, tanto públicos (CIRBE[3]) y privados (ASNEF EQUIFAX, EXPERIAN).

Aunque con carácter general el acceso al Registro público concursal como su propio nombre indica es público y gratuito, la ley contempla restricciones al acceso al dato de la exoneración. Así el art. 564 ha establecido una restricción de acceso a la sección dedicada a la exoneración “a aquellas personas que justifiquen la existencia de interés legítimo en averiguar la situación del deudor. La
apreciación de la existencia de interés legítimo se realizará por quién esté a cargo del Registro público concursal. Se presumirá interés legítimo en las autoridades y empleados públicos en el ejercicio de sus funciones públicas”. Afortunadamente se ha rectificado el texto inicialmente propuesto en el Anteproyecto que daba acceso libre al dato de la EPI. Si se pretende que el deudor se reintegre lo antes posible a la actividad económica, no parece razonable aumentar la publicidad del dato negativo de la EPI.

Pero la clave es ¿cuánto tiempo dura la publicidad del dato de la exoneración en el Registro público concursal?

Cuando se trata de la exoneración provisional concedida cuando el deudor se acoge al plan de pagos, la publicidad dura lo que dure el plan de pagos (art. 495 TRLC): 3 ó 5 años.

Respecto a la exoneración definitiva publicada con la resolución que la concede (art. 500 y 561.3 RRLC) no hay norma específica. El Real Decreto 892/2013, de 15 de noviembre sobre Registro Público concursal no se refiere explícitamente a la publicidad de la exoneración pues ésta no estaba vigente cuando se aprobó.

Respecto a la duración de la publicidad y cancelación de sus datos, el art. 6 del RD 892/2013 establece como regla general “los datos de carácter personal incluidos en las resoluciones concursales y en los asientos registrales insertados en el Registro Público Concursal en cualquiera de sus secciones serán cancelados dentro del mes siguiente a que finalicen sus efectos, sin perjuicio de su disociación para su utilización posterior”. Posteriormente se establecen reglas específicas y ninguna referida a la EPI porque, como ya he señalado, no estaba vigente cuando se aprobó este Real Decreto. Por tanto, en ausencia de norma específica cabe entender que el dato de la exoneración debería desaparecer en el plazo de un mes siguiente a la conclusión del concurso.

En la actualidad se está tramitando un Proyecto de Real Decreto por el que se regula el Registro público concursal en cuyo art. 9.1.e) establece un régimen especial para la publicidad de la exoneración disponiendo que “los datos relativos a los deudores que hubieran obtenido el beneficio de la exoneración podrán cancelarse desde la publicación del auto reconociendo con carácter definitivo la exoneración del pasivo insatisfecho. Transcurridos otros cinco años desde esta cancelación de estos datos podrá procederse a su supresión”.

La norma no es muy clara. Cuando se refiere a la cancelación del dato en el momento de la publicación del auto parece que se está refiriendo a la publicidad que se dio a la exoneración provisional cuando el deudor se acogió al plan de pagos. Ello implica que, si el deudor se acogió al itinerario de liquidación o concurso sin masa, la exoneración definitiva NO se publica porque no tiene sentido publicarla para cancelarla cuando se publica el auto de concesión de la exoneración definitiva.

Lo que no parece tener mucho sentido es que habiendo sido cancelado el dato, la norma se refiera a la supresión de los datos cuando hayan transcurrido cinco años. No parece que en este contexto se refiera al “derecho al olvido” del art. 17 RGPD. Aquí el dato no llega a publicarse en el Registro público, salvo en el caso mencionado de exoneración con plan de pagos.

Sea como fuere, se trata de una cancelación o supresión que debe ser instada por la persona interesada en ella (es decir, el que la obtuvo) o por el juzgado, tribunal u oficina judicial que hubiera ordenado o remitido la correspondiente resolución en el Registro público concursal (art.9.3 Proyecto RD). Y no solo se prevé en el texto proyectado la publicidad de la exoneración provisional y definitiva en caso de plan de pagos o liquidación, sino también en los supuestos de concesión en casos de concurso sin masa (art. 12.2 Proyecto de RD). Pero ¿qué sentido tiene que estos preceptos se refieran a la publicidad de la exoneración definitiva cuando previamente una norma dice que se cancelará el dato con la publicación del auto? Esta norma se encuentra en la actualidad en tramitación y es deseable que se revise pues la regulación propuesta no puede ser más lamentable y fuente de conflicto en un tema clave para la recuperación del deudor. No queda nada claro  en el texto proyectado si el dato de la exoneración definitiva se publica o no. A mi juicio, como he dicho, No debe publicarse para que así se logre una efectiva recuperación del deudor.

Lo dicho es respecto al Registro público concursal, pero ¿qué sucede en los registros privados de información crediticia?

Como he dicho, la obtención de la exoneración es un dato negativo de solvencia, siendo de aplicación la regulación contenida en el art. 20.1.d) LOPD y GDD que, referido a los datos negativos de solvencia, dispone que los datos únicamente se mantengan en el sistema mientras persista el incumplimiento, con el límite máximo de cinco años desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito.

Se podría pensar que existe pues una discordancia entre la regulación de la publicidad de la EPI en el Registro público (un mes) y en los sistemas de información crediticia privados (hasta cinco años) ¿Puede ser que el dato de la exoneración se mantenga más tiempo en el registro privado que en el público?

Sobre esta cuestión se acaba de pronunciar el Tribunal de Justicia de la UE en sentencia de 7 de diciembre de 2023[4]en relación con la discrepancia existente en el Derecho alemán respecto de la conservación del dato de la publicidad de la concesión de la exoneración del pasivo insatisfecho. En el registro público se preveía una publicidad por un plazo de 6 meses desde la conclusión del proceso concursal. Por el contrario, por virtud de un código de conducta suscrito por las agencias privadas de información crediticia se preveía el mantenimiento del dato de solvencia durante tres años a contar desde que se efectuó la inscripción. Dos ciudadanos que vieron denegado su préstamo por constar en la Schufa (principal agencia de información crediticia alemana) la exoneración del pasivo, dato que empeoró su calificación crediticia. Por ello, impugnaron ante el Tribunal de lo Contencioso-Administrativo alemán entre otras cuestiones la conservación de información relativa a la concesión de una exoneración del pasivo insatisfecho tomada de registros públicos.

El TJUE considera contrario al Reglamento general de protección de datos (RGPD) que las agencias privadas conserven dichos datos durante más tiempo que el registro público de insolvencia. Considera que “la exoneración del pasivo insatisfecho debe permitir al beneficiario volver a participar en la vida económica y, por lo tanto, generalmente reviste una importancia vital para esa persona. Pues bien, la consecución de este objetivo se vería comprometida si las agencias de información comercial, para evaluar la situación económica de una persona, pudieran conservar datos relativos a una exoneración del pasivo insatisfecho y utilizarlos una vez que han sido suprimidos del registro público de insolvencia, puesto que dichos datos siempre se emplean como un factor negativo a la hora de evaluar la solvencia de una persona” (nº. 98).

En suma, aplicada esta doctrina al Derecho español, debe prevalecer la duración de la publicidad de la EPI en el Registro público concursal que actualmente es de un mes, sobre la regulación prevista con carácter general en el art. 20 LOPDP y GDD para los datos negativos de solvencia que alcanza los cinco años. Como señala el TJUE, transcurrido el plazo de publicidad en Registro público la conservación es ilícita y los derechos y los intereses del interesado prevalecen sobre los intereses del público a disponer de esa información. Ya no existe interés legítimo del responsable del tratamiento de los datos (art. 6.1.f) RGPD) y el titular puede pedir la supresión de los datos.

Y es que, si queremos recuperar al deudor insolvente de buena fe, debe ser posible una segunda oportunidad financiera y la exoneración del pasivo debe facilitarla permitiendo la desaparición de los datos de morosidad y mejorando, por tanto, el rating crediticio. En el proyecto de reforma de Registro público concursal actualmente en tramitación, debe aclararse este tema tan relevante y no publicarse la exoneración definitiva del pasivo. La publicidad adicional de la exoneración pone “piedras en el camino” al concursado y compromete los objetivos de la propia institución de la exoneración de deudas.

[1] Reglamento general de protección de datos personales.

[2] Ley Orgánica 3/2018 de 5 de diciembre de protección de datos personales y garantía de derechos digitales.

[3] Central de Información de riesgos del Banco de España.

[4] Asunto C-634/21 (Schufa Holding – Scoring) y en los asuntos acumulados C-26/22 y C-64/22 (Schufa Holding).

El tratamiento de datos personales de contagiados y sospechosos para la vigilancia epidemiológica en la nueva normalidad

En medio del debate sobre si es legítimo o no la toma de temperatura de las personas que acceden a un comercio o a un centro de trabajo, el pasado 12 de mayo se publicó la “Orden SND/404/2020, de 11 de mayo, de medidas de vigilancia epidemiológica de la infección por SARS-CoV-2 durante la fase de transición hacia una nueva normalidad” (en adelante también Orden 404), a través de la cual se establecen una serie de obligaciones de recogida, tratamiento y remisión de información, tanto individualizada como agregada, para los centros, servicios y establecimientos sanitarios y sociosanitarios, tanto del sector público como del privado, así como a los profesionales sanitarios que trabajan en ellos y servicios de prevención de riesgos laborales (en adelante también, los sujetos obligados).

Esta Orden (dictada al amparo de lo previsto en el RD 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por la COVID-19) se enmarca en la “Estrategia de diagnóstico, vigilancia y control en la fase de transición de la pandemia COVID‐19, que el Ministerio de Sanidad publicó el 6 de mayo (posteriormente actualizada a fecha 12 de mayo) y establece en su artículo segundo que la COVID-19 es una enfermedad de declaración obligatoria urgente por lo que se hace necesario llevar a cabo la recogida de datos completos y precisos para apoyo de la toma de decisiones a la autoridad sanitaria.

De acuerdo con lo anterior, las unidades de salud pública de las comunidades y ciudades autónomas deberán obtener diariamente información sobre los casos sospechosos y confirmados de COVID-19, a través de los sujetos obligados.

Esta obligación se recoge en el marco de lo establecido en la Ley 33/2011, de 4 de octubre, General de Salud Pública, que establece la creación de una Red de Vigilancia en Salud Pública que incluya un sistema de alerta precoz y respuesta rápida que esté en funcionamiento continuo e ininterrumpido las veinticuatro horas del día.

El Real Decreto 2210/1995, de 28 de diciembre creó la Red Nacional de Vigilancia Epidemiológica (RENAVE) para permitir la recogida y el análisis de la información epidemiológica con el triple fin de (i) poder detectar problemas que puedan suponer un riesgo para la salud, (ii) difundir la información a las autoridades competentes y (iii) facilitar la aplicación de medidas para su control.

De hecho, este escenario legal es el que ha permitido a las autoridades competentes en materia de salud pública recoger y tratar información de la situación de la infección por SARS-CoV-2 y la COVID-19 desde el inicio de la pandemia y en el que ahora se enmarca la comunicación de datos que se llevará a cabo por los sujetos obligados.

La Orden 404 hace una llamada a cada componente de la RENAVE, a nivel autonómico y estatal, para advertir de que deberán destinar los recursos humanos, materiales y tecnológicos necesarios para la obtención de datos y el análisis continuo de la información, sin perjuicio de que igualmente se llevarán a cabo las adaptaciones pertinentes en los sistemas de información sanitaria y de vigilancia epidemiológica con el objeto de permitir a la RENAVE disponer de la información que la Orden establece.

Pero veamos a continuación cuáles son exactamente las obligaciones y procedimientos de obtención y comunicación de información para la vigilancia epidemiológica que contempla la Orden.

Por un lado, los servicios de atención primaria y hospitalaria, tanto del sistema público como del privado, así como de los servicios de prevención de riesgos laborales, son los sujetos obligados que deberán facilitar diariamente a las unidades de salud pública de las comunidades y ciudades autónomas información sobre los casos sospechosos e información individualizada de los casos confirmados de COVID-19. Concretamente, la información a obtener y comunicar al Ministerio de Sanidad desde el 12 de mayo de 2020 se describe en los anexos de la Orden.

Por otro lado, los laboratorios autorizados en España para la realización de pruebas diagnósticas para la detección de SARS-CoV-2 mediante PCR u otras pruebas moleculares deberán remitir directamente al Ministerio de Sanidad sus datos de contacto e identificación, así como datos de las pruebas diagnósticas realizadas.

De acuerdo con la Orden, la información individualizada de casos confirmados, se enviará al Ministerio de Sanidad a través de la herramienta de vigilancia SiViEs que gestiona el Centro Nacional de Epidemiología del Instituto de Salud Carlos III. Antes de las 12.00 horas de cada día se incorporará toda la información acumulada y actualizada hasta las 24.00 horas del día anterior.

Es obvio que la comunicación de datos que regula la Orden supone un tratamiento que, como las autoridades de protección de datos nos han recordado de forma periódica en esta situación de crisis sanitaria, debe garantizar el cumplimiento de la normativa de protección de datos, concretamente lo establecido en el Reglamento (UE) General de Protección de Datos (RGPD) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), siendo especialmente relevantes las obligaciones de información a las personas interesadas relativas a los datos obtenidos por los sujetos obligados, puesto que como nuestro Tribunal Constitucional ya manifestó en su Sentencia 292/2000, de 30 de noviembre de 2000 uno de los elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales es el derecho a saber de los mismos.

En este punto hubiera sido deseable que la Orden ya incorporase exactamente la información que deberían recibir las personas interesadas acerca del tratamiento de sus datos personales, pero no ha sido así.

La Orden se limita a indicar que el responsable del tratamiento de los datos que serán comunicados por los sujetos obligados será el Ministerio de Sanidad y tiene por finalidad el seguimiento y vigilancia epidemiológica de la COVID-19 para prevenir y evitar situaciones excepcionales de especial gravedad, atendiendo a razones de interés público esencial en el ámbito específico de la salud pública, y para la protección de intereses vitales de los afectados y de otras personas físicas.

También indica que el Ministerio de Sanidad garantizará la aplicación de las medidas de seguridad preceptivas que resulten del correspondiente análisis de riesgos, teniendo en cuenta que los tratamientos afectan a categorías especiales de datos y que dichos tratamientos serán realizados por administraciones públicas obligadas al cumplimiento del Esquema Nacional de Seguridad.

Y menciona igualmente que el intercambio de datos con otros países se regirá por el RGPD, teniendo en cuenta la Decisión n.º 1082/2013/UE del Parlamento Europeo y del Consejo, de 22 de octubre de 2013, sobre las amenazas transfronterizas graves para la salud (cuyo objeto es objeto apoyar la cooperación y la coordinación entre los Estados miembros con el fin de mejorar la prevención y el control de la propagación de las enfermedades humanas graves a través de las fronteras de los Estados miembros y luchar contra otras amenazas transfronterizas graves para la salud) y el Reglamento Sanitario Internacional (2005) revisado, adoptado por la 58ª Asamblea Mundial de la Salud, celebrada en Ginebra el 23 de mayo de 2005.

Pero, volviendo al “derecho a saber” que nuestro Tribunal Constitucional calificó como uno de los pilares fundamentales de la privacidad de los ciudadanos, la Orden no hace explícito el alcance del contenido del tratamiento de datos de acuerdo con el principio de transparencia recogido en los artículos 13 y 14 RGPD (información que cualquier persona precisa para disponer de un control sobre sus datos) acogiéndose aparentemente a las excepciones para ello, puesto que precisa expresamente “que las obligaciones de información del Ministerio se ajustarán a lo dispuesto en el artículo 14 RGPD teniendo en cuenta las excepciones y obligaciones previstas en su párrafo 5”.

 Pero ¿qué dice el artículo 14 RGPD y cuáles son estas excepciones? El artículo 14 aclara la información que el Ministerio de Sanidad debería proporcionar a cada ciudadano de quien reciba sus datos personales como consecuencia de la comunicación que los “sujetos obligados” llevarán a cabo según lo antedicho en la Orden 404, y que consiste en la siguiente:

a) La identidad y los datos de contacto del responsable (Ministerio de Sanidad);

b) Los datos de contacto del delegado de protección de datos;

c) Los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;

d) Las categorías de datos personales de que se trate;

e) Los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) En su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias basadas en garantías adecuadas cuáles son estas y los medios para obtener una copia de ellas o al hecho de que se hayan prestado.

g) El plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;

i) La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

j) El derecho a presentar una reclamación ante una autoridad de control;

k) La fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;

l) La existencia de decisiones automatizadas, incluida la elaboración de perfiles y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para la persona interesada.

Como puede apreciarse no es un asunto baladí. Esta información, que permitiría al ciudadano tener un control sobre sus datos, es la que el Ministerio de Sanidad debería comunicar a cada persona de quien se traten datos personales como consecuencia de la aplicación de la Orden 404 y podría haber sido incluida en la propia Orden.

La norma indica concretamente que el Ministerio debería facilitar la información indicada i) dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes; ii) si los datos personales han de utilizarse para comunicación con la persona interesada, a más tardar en el momento de la primera comunicación con ella, o; iii) si está previsto comunicar los datos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.

Sin embargo, no parece que el Ministerio tenga intención de informar del contenido del tratamiento a las personas interesadas, como puede apreciarse por el hecho ya mencionado de que la Orden indica que el Ministerio de Sanidad “tendrá en cuenta las excepciones al deber de informar contempladas en el propio artículo 14 RGPD en su apartado 5º”.

¿Y cuáles son estas excepciones?

Pues según reza el artículo 14, en su apartado 5º:

a) Cuando la persona interesada ya disponga de la información, lo cual en este caso no se dará si el Ministerio no proporciona a los “sujetos obligados” la información que deberían trasladar a las personas contagiadas o sospechosas.

b) Cuando la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de investigación científica “a reserva” en este caso de que cumplir con la obligación de informar pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento o en otro caso, siempre que se hubieran adoptado “las condiciones y garantías adecuadas para proteger los derechos, libertades e intereses legítimos de las personas interesadas”, inclusive haciendo pública la información;

c) Cuando la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado, o

d) Cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza estatutaria.

 

No entraremos en el debate de la aplicabilidad de las excepciones ni en su caso, de las condiciones para ello, habida cuenta de que daría lugar para escribir otro post. Sin embargo, sí considero importante volver a aclarar que hubiera sido deseable en pro de la transparencia del tratamiento de los datos por nuestras instituciones, que se hubiera aprovechado la Orden para publicar, sino el total, sí parte de la información a que tienen derecho los ciudadanos como titulares de un derecho constitucional, como es el derecho a la protección de datos, dado que ello no habría puesto en riesgo los fines de tratamiento ni los hubiera obstaculizado.

Pese a que la Orden manifiesta que el responsable del tratamiento es el Ministerio de Sanidad, no queda tampoco clara la relación del Ministerio con el Instituto de Salud Carlos III (que es la entidad que gestiona la herramienta a través de la cual se enviarán los datos al Ministerio) ni parece que las políticas de privacidad que uno (Instituto de Salud Carlos III) y otro (Ministerio de Sanidad) tienen a disposición de los ciudadanos en sus sitios web. En esta línea, es menester advertir que la LOPDGDD establece la obligación para las Administraciones públicas de publicar electrónicamente sus registros de actividades en relación con el tratamiento de datos que llevan a cabo como responsables y encargados del tratamiento y s.e.u.o., no parece que en el registro de las actividades publicado por el Ministerio de Sanidad haya ninguna actividad de tratamiento relacionada con la Orden.

La transparencia en términos de privacidad para las AAPP debe ser además de una obligación una actitud puesto que, no en vano, la Administración Pública se encuentra entre las áreas de actividad con mayor número de reclamaciones recibidas en 2019 por parte de los ciudadanos, según indica la Agencia Española de Protección de Datos en su Memoria 2019.

Comparto en este punto opinión con Carme Sánchez (responsable en la Asociación Profesional Española de la Privacidad del grupo sobre administraciones públicas y privacidad) quién ve claro que las administraciones deben apostar por la privacidad y tenerlo como un valor añadido en su quehacer diario y contacto con el ciudadano.

Pero ¿qué ocurre en el caso de los denominados “sujetos obligados”? ¿Quedan ellos amparados por las excepciones del derecho a informar a las personas interesadas?En mi opinión no. La Orden no lo aclara, pero el artículo 13 RGPD, que es el que regula la información que deberá facilitarse a los titulares de los datos cuando sean ellos quienes proporcionen los datos personales, establece básicamente la misma obligación de información con el alcance que antes hemos descrito (con alguna diferencia) y la única excepción que se plantea es para el supuesto de que la persona interesada de quien se recogen los datos (esto es, los sospechosos y los contagiados) ya dispongan de la información, lo cual, obviamente no ocurre en la práctica.

En el artículo 23 RGPD se establece la posibilidad de limitar el principio de transparencia (que es el que obliga a trasladar la información a las personas interesadas) pero solo a través de medidas legislativas que así lo especifiquen. Pero no es el caso.

Esto nos conduce a advertir de la obligación que tienen las mutuas y los servicios de prevención de las empresas (como el resto de sujetos obligados) de informar en la recogida de los datos personales a los sospechosos de COVID-19 y a los contagiados del contenido del tratamiento de sus datos personales de acuerdo con el artículo 13 RGPD, cuando a través de la prestación de sus servicios habituales para las empresas tengan conocimiento de estos casos.

Nada tiene esto que ver con la reciente polémica que se ha levantado al hilo del comunicado de la AEPD en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos sobre lo cual ya se ha escrito mucho y en algún caso con detalle y argumento (véase artículo de opinión de Xavier Ribas) en el sentido de que el hecho de que la Orden 404 obligue a recoger determinada información a las mutuas y servicios de prevención no supone la necesidad de adoptar de forma generalizada dichos sistemas de toma de temperatura de las personas en el acceso a centros de trabajo, comercios, centros educativos u otro tipo de establecimientos.

La toma de temperatura es una opción que en cada caso deberán valorar los comercios, centros de trabajo y otros establecimientos en el marco de las medidas de reanudación de sus actividades habituales y en particular, en relación con los protocolos y medidas de prevención de COVID-19. Si bien en este punto la Agencia Española de Protección de Datos ha indicado que la aplicación de esta medida y el correspondiente tratamiento de datos requeriría la determinación previa que haga la autoridad sanitaria competente, que en estos momentos es el Ministerio de Sanidad, de su necesidad y adecuación al objetivo de contribuir eficazmente a prevenir la diseminación de la enfermedad en los ámbitos en los que se apliquen, regulando los límites y garantías específicos para el tratamiento de los datos personales de los afectados.

Si bien hasta el momento no parece que el Ministerio de Sanidad haya realizado una declaración pública sobre ello, la medida cada vez es más generalizada tanto en el sector privado como en el público (véase la Guía de buenas prácticas para la reactivación de la actividad judicial elaborada por el Consejo General del Poder Judicial, que establece los órgano/s encargado/s de garantizar las medidas recomendarán a las Administraciones prestacionales que pueda realizarse el control diario de temperatura en el acceso a la sede judicial y la Resolución de 4 de mayo de 2020, de la Presidencia del Consejo Superior de Deportes, por la que se aprueba y publica el Protocolo básico de actuación para la vuelta a los entrenamientos y el reinicio de las competiciones federadas y profesionales que en relación con los “Centros de entrenamiento” exige que sean dotados de puntos de control de acceso especial, provistos de material de desinfección y aislamiento, de elementos técnicos que permitan comprobar la temperatura, de las personas que accedan al recinto, y circuitos cerrados de televisión CCTV). Concretamente además, según indica el propio Consejo Superior de Deportes el Ministerio de Sanidad ha validado la práctica totalidad del protocolo sanitario que, con las aportaciones de numerosos agentes, se remitió al departamento que comanda el ministro Salvador Illa.

No obstante, el silencio del Ministerio de Sanidad al respecto es patente como lo pone de manifiesto el hecho de que la Orden SNS/414/2020, de 16 de mayo, para la flexibilización de determinadas restricciones de ámbito nacional establecidas tras la declaración del estado de alarma en aplicación de la fase 2 del Plan para la transición hacia una nueva normalidad establece (entre otras) una serie de medidas para garantizar la protección de los trabajadores en su puesto de trabajo, así como para evitar la concentración de personas en determinados momentos en el nuevo escenario proporcionado por la fase 2, como son: asegurar que todos los trabajadores tengan permanentemente a su disposición en el lugar de trabajo agua y jabón o geles hidroalcohólicos o desinfectantes con actividad virucida autorizados y registrados por el Ministerio de Sanidad para la limpieza de manos; garantizarse la distancia de seguridad interpersonal de aproximadamente dos metros o en su caso que los trabajadores dispongan de equipos de protección adecuados al nivel de riesgo; la sustitución del fichaje con huella dactilar por cualquier otro sistema de control horario que garantice las medidas higiénicas adecuadas para la protección de la salud y la seguridad de los trabajadores o en su caso, la desinfección del dispositivo de fichaje antes y después de cada uso, advirtiendo a los trabajadores de esta medida.

Además, si un trabajador empezara a tener síntomas compatibles con la enfermedad, la Orden indica que deberá contactarse de inmediato con el teléfono habilitado para ello por la comunidad autónoma o centro de salud correspondiente y, en su caso, con el correspondiente servicio de prevención de riesgos laborales y el trabajador se colocará una mascarilla, debiendo abandonar, en todo caso, su puesto de trabajo hasta que su situación médica sea valorada por un profesional sanitario.

Reconduciendo en todo caso este post al tema objeto de análisis, una vez más demandamos de las autoridades, y en este caso concretamente al Ministerio de Sanidad, transparencia, concreción y más detalle sobre el tratamiento de los datos de los ciudadanos, recordando que, cualquier actividad de tratamiento que se realice con categorías especiales de datos, como es la salud, debería haber sido planificada a través de una evaluación de impacto cuyo resultado, cuanto menos, debería incluir no solo la definición de las medidas sino su propia implantación con carácter previo a la recogida de cualquier dato personal.

La desinformación sobre las apps de trazado de contagios

El Viernes 10 de Abril en un comunicado conjunto las compañías tecnológicas Google y Apple, anunciaron el inicio de una colaboración para el desarrollo de una App de trazado de contagios que permita ayudar en la lucha contra la pandemia del COVID-19. El comunicado ha recibido en muchos medios el calificativo de histórico, por la inusual colaboración de dos empresas que compiten de forma muy agresiva en diversos mercados, pero muy en particular en el mercado de los sistemas operativos móviles.  Entre ambas empresas, con los sistemas Android e iOS, controlan la práctica totalidad de los sistemas operativos que ejecutan los smartphones de todo el mundo.

La noticia ha tenido repercusión mundial pero, en muchos casos, ha predominado la desinformación sobre el análisis riguroso. En el telediario de mediodía del sábado 11 de abril de una de las grandes cadenas nacionales, los titulares hacían referencia a la utilización de la geolocalización como mecanismo de lucha efectiva contra la propagación del virus, referenciando las prácticas utilizadas en China o Corea del Sur. Durante el transcurso del telediario, se realizó una entrevista a un médico que, tras expresar expertas valoraciones sobre las perspectivas de la situación de la pandemia en España, fue preguntado por el periodistasobre su opinión en relación con las apps de trazado. Su respuesta fue decepcionante, al indicar que ojalá no se utilizasen, y que consideraba que aportaban muy poco frente a los riesgos que podían plantear para los derechos humanos y civiles. Un fantástico ejemplo de situación en que un experto en un tema, cuando es interrogado por otro sobre el que desconoce hasta los aspectos más básicos, no puede evitar emitir su opinión, lo que aumenta aún más la desinformación, al ser pronunciada por un experto. Lo era sin duda, pero en otras temáticas. El médico opinaba sobre una aplicación que localizaría a los enfermos y proporcionaría información sobre su ubicación, en lo cuál él apreciaba poco valor. La app anunciada por Google y Apple no localiza a los enfermos, y la información que aporta no es sobre la localización de un enfermo, sino sobre las personas que han mantenido contacto con él y que, por tanto, estarían en riesgo potencial de haber sido contagiadas. Una ocasión perfecta en que el médico podía haber expresado su desconocimiento sobre este tema en particular. Una situación que no por habitual deja de causar pesar.

El trazado de personas infectadas es una práctica básica en la lucha contra cualquier pandemia. Trazar consiste en identificar a las personas que pueden haber estado en contacto con una persona infectada. Su identificación temprana es esencial para poder romper la cadena de contagios y evitar la propagación del virus. Esta técnica es especialmente importante en las etapas iniciales, cuando el número de contagiados es bajo, y las autoridades sanitarias aspiran a contener su propagación. Una vez que fallan las técnicas de contención, como lamentablemente ha sucedido en España, la única medida efectiva sería el confinamiento en las casas, con el consiguiente impacto personal y económico. El confinamiento permitiría romper de forma drástica la cadena de contagios, y volver a empezar en el intento por contener la propagación del virus.

El trazado también se intentó realizar en España en las etapas iniciales. Algunos incluso recibimos llamadas de amigos, o de personal sanitario, que nos avisaba de que una persona con la que habíamos compartido una cena, una comida, una reunión, o un espacio de ocio o trabajo, había sido diagnosticada positiva en COVID-19, y por tanto nos pedían que nos mantuviéramos en casa en cuarentena durante al menos 14 días, y que vigiláramos nuestros síntomas, ya que éramos susceptibles de desarrollar la enfermedad. El mecanismo de trazado en este caso se basaba en el interrogatorio a la persona que había sido diagnosticada, para poder avisar a personas en riesgo, o directamente en la buena intención de tu amigo/compañero de trabajo que quiere prevenirte sobre la situación, y lamentar haberte puesto en un riesgo potencial.

El método de trazado basado en el interrogatorio tiene las limitaciones asociadas a la memoria humana. Es falible y no siempre rigurosa. Para paliar estas limitaciones la tecnología puede ayudarnos. Dado que el móvil se ha convertido en un dispositivo que siempre nos acompaña, puede ser también un aliado para identificar a las personas con las que hemos tenido un contacto estrecho en los últimos días.

Bajo esta premisa la tecnología puede ayudar en formas muy diferentes. Las primeras aplicaciones desarrolladas en países asiáticos, en particular en China y Corea del Sur, utilizaban la geolocalización de las personas para identificar personas que podrían estar en riesgo. Incluso en algunas ocasiones esta información se cruzaba con el uso de tarjetas de crédito para poder identificar al mayor número de personas potencialmente contagiadas.

Este es el tipo de tecnología que en Europa se ha mirado con reticencia. La localización es un dato personal, y por tanto protegido por el Reglamento General de Protección de Datos (RGPD) europeo.  Ningún país europeo ha querido comprometer los derechos ligados al uso de datos personales, incluso aunque eso permitiera una lucha más efectiva contra la pandemia.

Afortunadamente la tecnología ofrece soluciones alternativas, y si cabe más efectivas, que la geolocalización. Esta solución tecnológica alternativa se ideó en Singapur, y es conocida como TraceTogether. En este caso se utiliza la tecnología Bluetooth, en lugar de la geolocalización, para lograr el mismo objetivo, trazar posibles contagios. La tecnología Bluetooth es una tecnología de comunicación de corto alcance que, por ejemplo, se utiliza para conectar los auriculares o el sistema de audio del automóvil al teléfono móvil. Una tecnología diseñada para evitar el uso de cables en la conexión entre los accesorios de los dispositivos móviles. La mayoría de los móviles incorporan esta tecnología, y dado su corto alcance se muestra idónea para identificar otras personas que se encuentren a una distancia reducido durante un período de tiempo prolongado (ej. a menos de 1 metro durante más de 2 minutos), y por tanto podrían ser susceptibles de haber sido contagiados. Una vez que alguien es diagnosticado como positivo, puede recurrir a esta aplicación, para bien remitir la información de los contactos a la autoridad sanitaria para que avise a las personas registradas, o bien puede hacerlo él directamente. La aplicación puede admitir cualquier de las opciones. La información inicialmente sólo se almacena cifrada en el teléfono móvil de cada persona, y con identificadores anónimos que solo pueden asociarse a un teléfono móvil concreto con la clave apropiada. Esta clave solo se utilizará si el usuario da su consentimiento.

Aun cuando el diseño teórico de una solución de este tipo, como la anunciada en la colaboración de Google y Apple, es respetuosa con la privacidad, los detalles de la implementación siempre pueden condicionar la robustez de la solución y su garantía de privacidad y seguridad.

De la preocupación de muchos países europeos por adoptar una solución tecnológica respetuosa con la privacidad surgió la iniciativa PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing). Inicialmente impulsada por diferentes institutos de investigación alemanes, y liderados por el Fraunhofer Heinrich Hertz (instituto dedicado a las telecomunicaciones), ha atraído la atención de países como Francia, Reino Unido o Italia. La iniciativa pone a disposición pública el código fuente de la solución en la que están trabajando, basada en el código liberado por Singapur. Igualmente desarrollan una estrecha colaboración con las agencias de protección de datos para asegurar que la solución es respetuosa con la privacidad. En este contexto, la iniciativa liderada por Google y Apple es una noticia positiva, porque todas las soluciones basadas en Bluetooth deben superar algunas dificultades técnicas motivadas por restricciones fijadas por los sistemas operativos. Si los propietarios de estos sistemas eliminan estas restricciones para la App, su uso podrá ser más sencillo y efectivo.

Es previsible que Alemania lance una solución basada en esta iniciativa, en un plazo muy corto, y probablemente le seguirán rápidamente otros países. En el caso español, aparentemente es la Comunidad Autónoma de Cataluña la que parece tener más avanzada una solución basada también en la iniciativa PEPP-PT.

Cada país, y cada sociedad, puede decidir libremente si quiere o no utilizar las ayudas que la tecnología puede proporcionar para luchar con más efectividad contra la pandemia. Dado que los expertos que aconsejan a los gobiernos lo son, lógicamente, en el ámbito sanitario, epidemiológico o de salud pública, y puede que su familiaridad con este tipo de soluciones tecnológicas sea escasa, sería deseable que los gobiernos también contasen con expertos en este ámbito.

La no utilización del apoyo tecnológico no debería ser por ignorancia o desinformación, sino por el expreso deseo de seguir luchando contra las pandemias del siglo XXI con las herramientas tecnológicas del siglo XX, por muy estúpido que pueda parecer. Y de nuevo sería deseable pedir a los medios de comunicación un mayor rigor en el tratamiento de este tipo de noticias.

Sería una buena noticia que España adoptase este apoyo tecnológico a la mayor brevedad. No es la panacea, pero sería una ayuda adicional. La adopción debería ser voluntaria, pero aquellos que prefiriesen no utilizarla sería conveniente que permaneciesen en sus casas durante un período más prolongado, al suponer un mayor riesgo para el resto de la sociedad. Este tipo de aplicación, al igual que gestos como vacunarse, no son solo gestos de protección personal, sino de generosidad y protección a toda la comunidad con la que convivimos.

Privacidad en estado de alarma y normal aplicación de la Ley

Valorar situaciones de excepcionalidad desde la lógica de la normalidad es absurdo y tergiversa cualquier debate o conclusión. Desde la reinstauración de la democracia nunca se ha declarado el estado de excepción o sitio y sólo en dos ocasiones se ha declarado el de alarma, sin que entre ellas haya relación en cuanto a los motivos y medidas adoptadas. Cada circunstancia requiere respuestas diferentes, acordes con la realidad a la que ha de hacerse frente. Pero pretender que una situación de excepcionalidad permite una aplicación excepcional de la Ley no es de recibo. Las situaciones inusuales, como lo es el estado de alarma, han de afrontarse con la normalidad de la aplicación de la Ley.

Como he tenido ya ocasión de recordar (véase aquí), la declaración del estado de alarma no permite limitar derechos y libertades más allá de lo que dispone el artículo 11 de la Ley Orgánica 4/1981, de 1 de junio, de los estados de alarma, excepción y sitio. En ningún caso, además, pueden suspenderse derechos, sino tan sólo adoptar medidas que condicionen su ejercicio. Así debe interpretarse el artículo 55.1 de la Constitución que tan sólo permite suspender derechos cuando se declare el estado de excepción o de sitio, pero no el de alarma. Y aun así no todos los derechos pueden ser suspendidos, sino sólo los reconocidos en los artículos 17, 18, apartados 2 y 3, artículos 19, 20, apartados 1, a) y d), y 5, artículos 21, 28, apartado 2, y artículo 37, apartado 2 de la Constitución. El derecho a la protección de datos deriva del artículo 18.4 de la Constitución de modo que ni siquiera en los estados de excepción y sitio puede ser suspendido; mucho menos, pues, en el estado de alarma.

Ya se ha discutido si en las circunstancias que ahora vivimos la libertad de circulación ha sido o no suspendida. Sin perjuicio de que las medidas adoptadas sobre todo a partir del confinamiento generalizado y la suspensión de actividades no esenciales pueden estar en el límite de lo que puede acordarse en casos de estados de alarma, lo cierto es que por el momento no se han suspendido derechos fundamentales, aunque sí se ha limitado notabilísamente su ejercicio. Este puede ser el caso, parece, con la protección de datos de carácter personal.

Ante todo hemos de recordar de nuevo, como se ha puesto de manifiesto ya en varias ocasiones, que, como no puede ser de otro modo, tanto el Reglamento General de Protección de Datos de la Unión Europea (RGPD) como la Ley Orgánica de Protección de Datos (LOPDGDD) permiten el tratamiento de datos, incluidos datos de salud, sin el consentimiento de los afectados cuando sea necesario para atajar el coronavirus [1]. La legislación sectorial en materia de sanidad y salud pública también lo permiten, como la de prevención de riesgos laborales. Con todo este marco normativo ha de ponerse de relieve una vez más que la protección de datos ni es ni puede ni debe ser un obstáculo para la más efectiva de las luchas contra el coronavirus dentro del Estado de Derecho. Una vez más insisto en que la protección de datos apenas prohíbe hacer nada, sino que marca la línea que indica cómo deben hacerse las cosas.

Ahora se ha dado un paso más con la puesta en marcha de lo que se ha denominado “DataCOVID”, que -según informa el Gobierno- constituye un estudio de movilidad de la población para contribuir a la toma de decisiones ante el coronavirus [2]. Incluso se ha aprobado por el Ministerio de Sanidad (autoridad competente delegada con carácter general para el ejercicio de las funciones que sean necesarias para la efectividad del estado de alarma[3]) la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19. Esta, en definitiva, viene a poner de manifiesto que se van a utilizar masivamente las posibilidades que la geolocalización puede ofrecer a partir de los datos de los teléfonos móviles. Se trata, por un lado, de “verificar que [el usuario] se encuentra en la comunidad autónoma en que declara estar”, y por otro de analizar “la movilidad de las personas en los días previos y durante el confinamiento”. Ya se ha estudiado en detalle el contenido de dicha orden [4], por lo que no es necesario hacerlo de nuevo. Pero sí parece oportuno proponer algunas reflexiones de alcance más general.

Desde luego, como ya he puesto de manifiesto en otras ocasiones, no creo que, en estos momentos, podamos pensar que el derecho fundamental a la protección de datos esté vaciándose de contenido. Ni siquiera tras la citada Orden SND/297/2020[5]. Pero hay que ser extraordinariamente cauto para evitar cualquier riesgo de impacto irreversible en la protección de datos. Las pistas ya las dio la Agencia Española de Protección de Datos en su relevante Informe 0017/2020 [6] y el Comité Europeo de Protección de Datos lo ha advertido en su Declaración sobre el tratamiento de datos personales en el contexto de la crisis del COVID-19, adoptada el pasado 19 de marzo [7].

La cuestión, sobre el papel, no es difícil: si no es en ningún caso posible suspender el derecho a la protección de datos (recuerdo que ello tampoco sería posible ni en un estado de excepción ni de sitio), sino sólo limitar su ejercicio en lo imprescindible para combatir la situación que ha dado lugar al estado de alarma (“afrontar la situación de emergencia sanitaria provocada por el coronavirus COVID-19”, según el art. 1 del Real Decreto 463/2020); si ello es así, decía, los principios esenciales que configuran el contenido esencial del derecho a la protección de datos en ningún caso pueden violarse y la situación ha de volver a una total normalidad una vez concluido el estado de alarma. Aunque hay que advertir que la aplicación de las medidas que sean necesarias, siempre que respeten tales principios esenciales, ha de considerarse dentro de la normalidad, pues es normal que la Ley (en nuestro caso, sobre todo, el RGPD) prevea tratamientos en escenarios inusuales.

Esto es importante, pues de lo contrario podría considerarse que son admisibles medidas extraordinarias ante situaciones que también lo son. Me explico: sólo si partimos de que la Constitución prevé, con normalidad democrática, que pueden tomarse medidas para hacer frente a las situaciones no usuales que puedan llegar a producirse, podremos concluir que tales medidas han de ser tomadas en el marco de la más absoluta normalidad democrática y del más normal respeto al Estado de Derecho. Ni la democracia ni el Estado de Derecho están restringidos ni limitados por el estado de alarma. Una y otro operan con todo su rigor, como con normalidad prevé el art. 116 de la Constitución. Aplicado esto a la protección de datos, procede concluir que es normal que pueda limitarse el ejercicio del derecho a la protección de datos, pues sólo de este modo podrán analizarse desde la lógica de la normalidad democrática y jurídica las medidas que se adopten y que, al no ser extraordinarias, sino normales en el entorno en que han de aplicarse, pueden y deben ser juzgadas desde la normalidad, sin que por tanto sean justificables medidas que pretendan ampararse en una suerte de excepcionalidad que justificaría también excepcionalmente restringir los principios configuradores del derecho fundamental. Restricción que, por moverse en la lógica de la excepcionalidad, podría ser analizada y juzgada desde la excepcionalidad y, por tanto, admitiría limitaciones que sin embargo deben ser considerados inadmisibles. La excepcionalidad fáctica sólo puede y debe ser combatida desde la normalidad jurídica y democrática, lo que permite tomar medidas que, en el marco del respeto absoluto al Estado de Derecho, estén dirigidas a acabar cuanto antes con aquélla situación fáctica. Por tanto los derechos (en plural) pueden estar sujetos a las limitaciones que sean imprescindibles, pero nunca el Derecho, con mayúsculas y en singular, porque precisamente el Derecho es lo que permite hacer frente, con normalidad jurídica, la situación de anormalidad que ha de afrontarse.

En este escenario, las medidas que se adopten en materia de protección de datos para acabar cuanto antes con la pandemia han de ser las que con normalidad jurídica y democrática  pueden e, incluso, deben adoptarse en tales circunstancias. Respetando en todo caso los principios que enumera el artículo 5 del RGPD: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; seguridad en términos de integridad y confidencialidad de los datos y responsabilidad proactiva. Ninguno de estos principios cede en el estado de alarma. Y todo ello bajo la supervisión de las autoridades de protección de datos; en particular, de la Agencia Española de Protección de Datos, cuyas competencias en este ámbito, por lo demás, en ningún caso pueden ser sustraídas ni ejercidas por las autoridades competentes delegadas a que se refiere el Real Decreto 463/2020, pues la existencia misma de una autoridad de control independiente forma asimismo parte del contenido esencial del derecho a la protección de datos, tal como se desprende del artículo 8.3 de la Carta delos derechos fundamentales de la Unión Europea.

Por cierto, es llamativo y difícilmente comprensible que ante una situación como el estado de alarma, que por definición afecta al ejercicio de los derechos fundamentales, el Ministerio de Justicia no sea una de las autoridades competentes según el artículo 4.2 del citado Real Decreto 463/2020. Artículo que, como digo, no puede en ningún caso interpretarse en el sentido de entender que el Ministerio de Sanidad asume las funciones de la Agencia, pues, pese a que dicho precepto dispone que este Ministerio será autoridad competente delegada “en las áreas de responsabilidad que no recaigan en la competencia” de alguno de los Ministerios de Defensa, Interior o Transportes, lo cierto es que la protección de datos no es responsabilidad del Ministerio de Justicia (como he dicho, no incluido en esta breve relación, y por tanto sujeto a la asunción residual de competencias en favor del de Sanidad), sino de la Agencia, sin perjuicio de que ésta se relacione con el Gobierno a través del Ministerio de Justicia (art. 44.1 LOPDGDD).

Lo anterior es totalmente trasladable a los tratamientos de datos previstos en la Orden SND/297/2020. Que por lo demás no es que sean autorizados por dicha Orden (que tiene la naturaleza de acto administrativo y no de disposición de carácter general) sino que son preexistentes a la misma, pues en definitiva lo que en ella se hace no es autorizar o regular una serie de tratamientos que permitan la geolocalización o estudiar la movilidad de, parece, cualquier cliente de operadores móviles, sino establecer una relación de responsable-encargado en los tratamientos a que se refiere.  En un caso (geolocalización) el responsable es el Ministerio de Sanidad y el encargado la Secretaria General de Administración Digital; en el otro (estudio de movilidad de la población), el responsable es el Instituto Nacional de Estadística y los encargados “los operadores de comunicaciones electrónicas móviles con los que se llegue a un acuerdo”.

Pues bien, la situación de excepcionalidad no admite una aplicación excepcional o incluso inaplicación de la Ley, sino la más normal de sus aplicaciones. Y en este sentido, los tratamientos a que se refiere la Orden han de basarse en un título habilitante que los haga lícitos (título que sin duda puede encontrarse en el artículo 6.1.d) y e) y en varios apartados del artículo 9.2, ambos del RGPD) y deben respetar el resto de principios de la protección de datos que antes he recordado. Entre otros los de finalidad, seguridad, minimización de los datos y limitación del plazo de conservación. Y en particular el principio de responsabilidad proactiva, que a su vez exige tener en cuenta la protección de datos desde el diseño  y por defecto (especialmente importante cuando se trata de desarrollar una aplicación informática para el apoyo en la gestión de la crisis sanitaria), la realización de una evaluación de impacto a la protección de datos (pues se dan sin duda las condiciones previstas en el artículo 35 del RGPD) y la elaboración del correspondiente registro de actividades del tratamiento, de acuerdo con el artículo 30 del RGPD, que además debe hacerse público, según el art. 31.2 de la LOPDGDD.  Por otra parte es imprescindible informar a los interesados en los términos previstos, según los casos, en los artículos 13 y 14 del RGPD salvo que se acredite que se dan algunas de las circunstancias que prevén los apartados 4 y 5, respectivamente, de ambos artículos. Por otra parte, deberán aplicarse las previsiones del Real Decreto-Ley 14/2019, de 31 de octubre, en materia de administración digital, contratación del sector público y telecomunicaciones[8]. Todas estas circunstancias han de ser tenidas en cuenta y hemos de suponer que así ha sido. La supervisión de la Agencia Española de Protección de Datos pasa a ser de nuevo capital. Así como, por supuesto, el acceso a la vía judicial en su caso, como ha advertido el Comité Europeo de Protección de Datos precisamente en relación con el posible uso de datos de geolocalización a partir del uso de los móviles [9].En este sentido es muy relevante el Comunicado de la AEPD en relación con webs y apps que ofrecen autoevaluaciones y consejos sobre el Coronavirus [10], hecho público días antes de la aprobación de la orden, en el que se admite la posibilidad de su desarrollo y uso, pero con estricto respeto a los principios del derecho a la protección de datos.

Dicho lo anterior, que se trate de soluciones, las previstas en la Orden de 27 de marzo, que parecen haber resultado positivas en otros países, es un elemento muy a tener en cuenta, sin duda, pero no definitivo. Hay que tener en cuenta varias circunstancias.

Por un lado, es imprescindible conocer la situación real en la que tales medidas van a ser aplicadas. No sólo por parte de los poderes públicos que van a ponerlas en marcha, sino también por todas las personas que vamos a ser destinatarios de las mismas.  En este sentido, la transparencia en cuanto a la transmisión de la información por parte de las autoridades competentes en los términos del Real Decreto 463/2020 es imprescindible. Los datos han de ser reales, sean los que sean. Y en este sentido debería aclararse cuanto antes el alcance de la preocupante Nota del Presidente del Tribunal Superior de Justicia de Castilla-La Mancha hecha pública el 6 de abril, en la que, de forma muy bien motivada y documentada, advierte que los enterramientos por coronavirus en esa Comunidad Autónoma superan en mucho a los datos oficiales, tal como se desprende de los datos recogidos de los Registros Civiles y en particular de los certificados de defunción[11], lo que incluso ha llevado a iniciar un expediente gubernativo (Expediente 49/2020) “dirigiendo prevención a los Jueces Encargados de los Registros Civiles para que, en lo sucesivo, se vele por que se haga una identificación lo más precisa posible de la causa inicial o fundamental de la muerte en todos aquellos casos en los que aparezcan procesos patológicos o causas o intermedias que puedan considerarse compatibles o sospechosos con el Coronavirus Covid”.

Por otra parte, es seguro que ya se han debido realizar las evaluaciones necesarias para concluir qué tipo de aplicación, qué tratamiento de datos basado en las técnicas de big data y qué medidas se han adoptado o deben adoptarse para garantizar plenamente el derecho a la privacidad de las personas. La propia orden en su punto cuarto se remite a la legislación de protección de datos, cuya plena aplicación, en los términos de normalidad que he apuntado, ha de darse por descontada [12]. Pero no podemos olvidar que hay voces que, incluso fuera de nuestras fronteras y referidas a experiencias semejantes a la nuestra, han expresado sus cautelas frente a las técnicas basadas en la geolocalización. Me refiero por ejemplo al interesantísimo Libro Blanco sobre “Decentralized Privacy-Preserving Proximity Tracing”, elaborado por investigadores de diversos centros europeos, con una destacada intervención de la investigadora española  Carmela TRONCOSO [13], incluyendo un detallado estudio de las medidas de seguridad que deben implantarse[14]. Documentos que apenas se han hecho públicos el pasado día 3 de abril. Por su parte el Supervisor Europeo de Protección de Datos ha abogado por el uso de la tecnología para acabar con el virus y ha instado a poner en marcha una pan-Europea “COVID-19 mobile application”, coordinada a nivel de la Unión Europea, al objeto de evitar las posibles diferencias que puedan existir entre las aplicaciones que vayan desarrollándose en cada país.

En fin, una última consideración que no es necesario resaltar: cualquier medida adoptada para hacer frente a la crisis del coronavirus ha de cesar en cuanto la situación excepcional en la que se enmarca desaparezca. También esto encaja dentro de la normal aplicación de la Ley y el Derecho. Las sucesivas prórrogas del estado de alarma traen consigo, en lo que sea necesario, la ampliación de la vigencia de las medidas adoptadas en su aplicación, pero, como advierten con carácter general en relación con las medidas adoptadas con ocasión de los estados de alarma, excepción y sitio GARCIA DE ENTERRIA y Tomás Ramón FERNANDEZ, justificadas “precisamente por las circunstancias excepcionales que tratan de resolver, pierden todo sentido cuando estas circunstancias desaparecen. Restablecida la normalidad, no es necesario siquiera proceder a su derogación formal y expresa para que tal derogación se estime producida” [15].

Al recuperarse la normalidad fáctica, volverá por tanto a restablecerse el pleno ejercicio de los derechos y entre ellos el de la protección de datos. Pero habremos de estar especialmente atentos y cautelosos, y aquí los prestadores de servicios y sobre todo los poderes públicos deberán ser especialmente responsables, al objeto de garantizar que en efecto las limitaciones al derecho han quedado sin efecto y que por tanto, por ejemplo, ya no están siendo geolocalizados masivamente nuestros móviles. Porque mientras que la recuperación del resto de los derechos podrá y deberá ser evidente, la de la privacidad puede pasar desapercibida porque su violación pasa asimismo desapercibida. Esa es la gran diferencia entre el derecho a la privacidad y el resto de derechos: pueden estar vulnerando nuestra privacidad sin que para nada seamos conscientes de ello; lo seremos cuando se produzcan en su caso las consecuencias de la violación, pero no antes. Y será difícil que pueda demostrarse que ya no estamos sometidos a una vigilancia constante que por lo demás en cualquier caso es posible. Y que incluso en un estado de alarma puede ser hasta necesario para conseguir la finalidad requerida: acabar con la pandemia.

Se trata, en definitiva, de garantizar que cualquier medida que se adopte y que pueda afectar a la protección de datos no sitúe a este derecho en estado de alarma, sino que permita acabar cuanto antes con el estado de alarma. Para lo cual, como ha advertido el Supervisor Europeo [16], tales medidas han de ser temporales, para finalidades determinadas, que impliquen el acceso limitado a los datos que sean imprescindibles y, muy importante, siendo conscientes de que volveremos a la normalidad. Lo que en definitiva no es más que la aplicación normal del marco jurídico que regula el derecho fundamental a la protección de datos de carácter personal.

 

NOTAS

[1] Entre otros, MARZO PORTERA, Ana, “La inoportuna doctrina de las autoridades europeas de protección de datos frente al Covid-19” en Expansión-Hay Derecho, 18 de marzo de 2020. Puede consultarse en https://hayderecho.expansion.com/2020/03/18/la-inoportuna-doctrina-de-las-autoridades-europeas-de-proteccion-de-datos-frente-al-covid-19/; MARTINEZ, Ricard, “A la muerte por protección de datos”, en http://lopdyseguridad.es/a-la-muerte-por-proteccion-de-datos/; Yo mismo en “La protección de datos durante la crisis del coronavirus”, Newsletter del Consejo General de la Abogacía Española: https://www.abogacia.es/actualidad/opinion-y-analisis/la-proteccion-de-datos-durante-la-crisis-del-coronavirus/.

[2] https://www.lamoncloa.gob.es/serviciosdeprensa/notasprensa/asuntos-economicos/Paginas/2020/010420-datacovid.aspx

[3] Art. 4 del Real Decreto 463/2020, pro el que se declara el estado de alarma. Corresponden al Ministerio de Sanidad todas las funciones que no correspondan a los Ministerios de Defensa, Interior y Transportes, Movilidad y Agenda Urbana.

[4] MARTINEZ,  Ricard, “Protección de datos y geolocalización en la Orden SND/297/2020”,  https://hayderecho.expansion.com/2020/03/31/proteccion-de-datos-y-localizacion-en-la-orden-snd-297-2020/

[5] Ricard MARTINEZ considera que “Lo cierto es que leída en su contexto la Orden se encuentra muy lejos del apocalipsis orwelliano que se anuncia. Lo que no implica que la acción de los poderes públicos no deba estar sujeta a seguimiento, control y auditoría”.

[6] https://www.aepd.es/es/documento/2020-0017.pdf

[7] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf

[8] De él me he ocupado en “Los peligros de una república digital desbocada. A propósito del Real Decreto-Ley 14/2019, de 31 de octubre, en materia de administración digital, contratación del sector público y telecomunicaciones”, en Revista Derecho Digital e Innovación, Wolters Kluwer, nº 3.

[9] Declaración sobre el tratamiento de datos personales en el contexto de la crisis del COVID-19, citada más atrás.

[10] https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/comunicado-de-la-aepd-en-relacion-con-webs-y-apps-que-ofrecen

[11] http://www.poderjudicial.es/cgpj/es/Poder-Judicial/Tribunales-Superiores-de-Justicia/TSJ-Castilla-La-Mancha/En-Portada/El-numero-de-licencias-de-enterramiento-expedidas-por-los-registros-civiles-de-Castilla-La-Mancha-en-marzo-de-2020-aumenta-un-96-3—respecto-al-mismo-mes-del-ano-anterior

[12] Aunque lo cierto es que no parece que lo más adecuado sea afirmar, como hace el citado punto cuarto, que “lo dispuesto en esta orden se entiende sin perjuicio de la aplicación del régimen previsto” en el RGPD y la LOPDGDD. Esta afirmación sólo puede ser interpretada en el sentido de que la aplicación de la orden se someterá totalmente y sin excepción alguna a la normativa sobre protección de datos. Quiero pensar que se trata tan sólo de una redacción propia de la urgencia en aprobar la orden.

[13] https://github.com/DP-3T/documents/blob/master/DP3T%20White%20Paper.pdf

[14] https://github.com/DP-3T/documents/blob/master/DP3T%20-%20Data%20Protection%20and%20Security.pdf

[15] Curso de Derecho Administrativo, Vol. I, Thomson Reuters-Civitas, Cizur Menor, 18 edición, 2017.

[16] EU Digital Solidarity: a call for a pan-European approach against the pandemic, citado más atrás.

La inoportuna doctrina de las autoridades europeas de protección de datos frente al Covid-19

En un momento en que el estado de alarma sitúa en un escenario de medidas que limitan o restringen el ejercicio de los derechos (como excepción a la normalidad constitucional fruto o consecuencia de la gravedad de la situación), parece más temerario que razonable que las autoridades de protección de datos de los países europeos a la cabeza de contagios (Italia, España, Alemania y Francia) estén emitiendo una doctrina confusa y obstaculizadora para las empresas y entidades públicas en relación con la recogida y tratamiento de datos de salud para detectar los casos de coronavirus o prevenir contagios.

Sin ir más lejos, el garante para la Protección de Datos de Carácter Personal (Autoridad italiana) publicó la pasada semana, en pleno auge de la enfermedad, una nota de prensa  bajo el título “No do-it-yourself (DIY) data collection, says the Italian DPA”  para dejar sin palabas a cualquiera.

Esta autoridad de control, ante las “numerosas preguntas de entidades públicas y privadas respecto de la posibilidad de recoger datos sobre síntomas de coronavirus de visitantes y trabajadores como medida preventiva del contagio”, determinó que los empleadores deben abstenerse de recopilar, a priori y de manera sistemática y generalizada, información sobre la presencia de cualquier síntoma de gripe del trabajador y sus contactos más cercanos, incluso a través de solicitudes de información específicas a los trabajadores de forma individual o a través de investigaciones no autorizadas, bajo la justificación de que solo los trabajadores de la salud y el sistema activado por la protección civil son los organismos responsables de garantizar el cumplimiento de las normas de salud pública y por tanto, quienes pueden determinar y recopilar información relacionada con los síntomas típicos del coronavirus e información sobre los movimientos recientes de cada individuo.

En una línea similar, la autoridad francesa de protección de datos (CNIL), ante la igualmente numerosa recepción de solicitudes de profesionales sobre la posibilidad de recopilar, además de cualquier tratamiento médico, datos sobre empleados y visitantes para determinar si las personas tienen síntomas de coronavirus o datos relacionados con viajes y eventos, indicó a través de un artículo denominado “Covid-19, Les rappels de la CNIL sur la collecte de données personnelles” que los empleadores no pueden tomar medidas que puedan violar la privacidad de las personas, dado que estos datos están sujetos a una protección muy especial, tanto por el Reglamento General  de Protección de Datos como por las disposiciones del Código de Salud Pública. Y dio un paso más allá, explicando que no es posible implementar, por ejemplo, sistemas de lectura obligatoria de la temperatura corporal de cada empleado o visitante de un centro o establecimiento, concluyendo que si la situación de salud requiere que todas las partes interesadas estén particularmente atentas, “la CNIL invita a las personas y profesionales a seguir las recomendaciones de las autoridades sanitarias y a recopilar solo datos sobre la salud de las personas que tienen han sido solicitados por las autoridades competentes”.

Menos restrictivo aparentemente resulta el informe emitido por la Autoridad alemana de protección de datos (BFDI), en su artículo Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie, publicado igualmente, como en los casos anteriores, tras la masiva consulta elevada por los empleadores sobre el mismo hecho, la posible recogida de datos de salud por los empleadores respecto de la infección de sus trabajadores por coronavirus. No obstante, el informe no profundiza acerca de la licitud o no de la recogida de datos de temperatura corporal de los trabajadores y visitantes a centros de trabajo.

Llegados a este punto, nuestra autoridad de control, la Agencia Española de Protección de Datos, publicó el pasado 12 de marzo un informe sobre los tratamientos de datos en relación con el Covid19, donde parecía que, ante tanta insensatez, nuestra autoridad ofrecía un criterio acorde con las circunstancias dentro de las garantías del Reglamento General de Protección de Datos, explicando que en consonancia con la normativa sectorial aplicable en el ámbito de la salud pública, las consideraciones relacionadas con la protección de datos -dentro de los límites previstos por las leyes- no deberían utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la epidemia, por cuanto ya la normativa de protección de datos personales contiene una regulación para dichos casos que compatibiliza y pondera los intereses y derechos en liza para el bien común”.

Pero en paralelo a este informe, la misma autoridad ha publicado unas preguntas frecuentes sobre el tratamiento de datos en relación con el coronavirus, donde a la vez que avala que “verificar si el estado de salud de las personas trabajadoras puede constituir un peligro para ellas mismas, para el resto del personal, o para otras personas relacionadas con la empresa constituye una medida relacionada con la vigilancia de la salud de los trabajadores que, conforme a la Ley de Prevención de Riesgos Laborales, resulta obligatoria para el empleador” sin embargo argumenta que esta verificación debería ser realizada por “personal sanitario”.

Esto supone que, a criterio de nuestra autoridad de control, resulta obligatorio para todos los empleadores verificar si el estado de salud de su personal puede poner en riesgo la salud de toda la plantilla u otras personas, pero eso sí, solo a través del personal sanitario.

Sorprendente conclusión a la que llega nuestra autoridad de control en un momento donde es prioritaria la salud de la población y donde la cordura nos dice que la protección de datos no debería utilizarse para obstaculizar ni limitar la efectividad de las medidas que adopten, no solo las autoridades, sino también los agentes privados en la lucha contra la epidemia.

En esta línea, el Considerando (46) del Reglamento General de Protección de Datos reconoce que ciertos tipos de tratamientos de datos pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria.

Y como apunta el profesor Ricard Martínez en su brillante informe sobre el tema “A la muerte por protección de datos”, nuestro ordenamiento jurídico nos proporciona un marco regulador en salud pública y vigilancia epidemiológica que son suficientes garantías para poder llevar a cabo el tratamiento de datos personales aplicando la razón última en la protección de las categorías especiales de datos (como los de salud), cuestión que ya  tuvo en cuenta el Convenio 108/1981, del Consejo de Europa, que no es otra que evitar la discriminación.

Tomando las palabras de Ricard Martínez, “tratar datos de salud con la función de prevenir y luchar en un escenario epidémico o pandémico se alinea con el valor constitucional fundamental la garantía de la vida, la salud y la dignidad humanas”, por lo que, haciendo un llamamiento a las autoridades de control de protección de datos europeas, y especialmente a la española, estas deberían reelaborar sus informes, proporcionando a los empleadores y entidades, tanto públicas como privadas, y a la ciudadanía en general, un escenario acorde con la normativa de privacidad, diseñando en todo caso un protocolo a seguir para la recogida de datos personales con el fin de contener la propagación del coronavirus y evitar riesgos a las personas, bien se trate del personal de plantilla, bien de visitas.

Y ello sin descartar el uso y aprovechamiento de la tecnología existente, como por ejemplo uso de cámaras térmicas en manos del personal de seguridad privada, todo ello, lógicamente en un escenario de cumplimiento de los principios de protección de datos que nos obligan a garantizar la privacidad desde el diseño y por defecto, la limitación de la finalidad del tratamiento, la minimización de los datos, un marco temporal de tratamiento y conservación de los datos, la exigencia del deber de secreto de las personas que deban tratar los datos (aunque no sea estrictamente personal sanitario) y  las debidas medidas de seguridad, todo ello para que los destinatarios de dicha información sean las autoridades sanitarias y aquellos terceros que en su caso el Ordenamiento Jurídico prevea.

Pero no pongamos el derecho a la protección de datos como obstáculo ni sometamos a las empresas ni a nuestras administraciones abiertas al público a la contradicción de tener que aplicar medidas para garantizar la salud y evitar los contagios, solo si determinados tratamientos de datos para ello los lleva a cabo el personal sanitario. El personal sanitario “está donde está” y “bastante tiene con lo que tiene”.

Volviendo a la pregunta planteada por la Agencia Española de Protección de Datos en su documento de preguntas y respuestas acerca de si el personal de seguridad puede tomar la temperatura a los trabajadores con el fin de detectar casos coronavirus cuando esté en riesgo tanto su salud como la de otras personas y cuya respuesta de la citada Agencia es que, de acuerdo con la normativa de prevención de riesgos laborales, ello resulta obligatorio para el empleador, si bien debería ser realizado por personal sanitario, me atrevo a realizar la siguiente reflexión:

La derogada Directiva Europea 95/46/CE de protección de datos, establecía en su artículo 8 la prohibición de los Estados miembros de llevar a cabo el tratamiento de datos personales relativos a la salud con, entre otras, la siguiente excepción: cuando el tratamiento de datos resulte necesario para la prevención o para el diagnóstico médicos siempre que dicho tratamiento de datos fuera realizado por un profesional sanitario sujeto al secreto profesional sea en virtud de la legislación nacional, o por otra persona sujeta asimismo a una obligación equivalente de secreto.

En la misma línea, la derogada Ley Orgánica 15/1999 de protección de datos de carácter personal, establecía en su artículo 7, apartado 6, que podrán ser objeto de tratamiento los datos de carácter personal de salud cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

En mi opinión, el Reglamento General de Protección de Datos ha mantenido el mismo régimen en su artículo 9, apartados 1, 2.h) y 3 al determinar que queda prohibido el tratamiento de datos personales relativos a la salud, salvo que dicho tratamiento sea necesario para fines de medicina preventiva o laboral, prestación de asistencia o tratamiento de tipo sanitario o social, sobre la base del Derecho de la Unión o de sus Estados miembros, cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional o bajo su responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados miembros, o con las normas establecidas por los organismos nacionales competentes, o por cualquier otra persona sujeta también a la obligación de secreto de acuerdo con el Derecho de la Unión o de sus Estados miembros o de las normas establecidas por los organismos nacionales competentes.

En definitiva, no existe una prohibición absoluta a que personal distinto al sanitario lleve a cabo el tratamiento de dichos datos, siempre y cuando dicho personal no sanitario esté sujeto a un deber de confidencialidad y a un deber de secreto.

En este punto traigo a colación la Orden INT/318/2011, de 1 de febrero, sobre personal de seguridad privada, cuya actuación está sujeta, entre otros principios básicos, según lo establecido en su artículo 31, a la guarda de una “rigurosa reserva profesional sobre los hechos que conozca en el ejercicio de sus funciones, especialmente de las informaciones que reciba en materia de seguridad y de los datos de carácter personal que deba tratar, investigar o custodiar, y no podrá facilitar datos sobre dichos hechos más que a las personas que les hayan contratado y a los órganos judiciales y policiales competentes para el ejercicio de sus funciones”.

En definitiva, y volviendo a la posibilidad de que los empleadores puedan tratar datos personales de salud en el marco de la prevención de riesgos de sus trabajadores procedentes de la toma de temperatura a través de tecnologías como cámaras térmicas gestionadas por personal del sector de la seguridad privada, creo que queda acreditado en nuestro Derecho que dicho personal de seguridad privada está sujeto a un estatuto de reserva y sigilo profesional, como mínimo, similar al de cualquier profesional sanitario.

En todo caso, parece que las autoridades de control europeas y, en particular, la Agencia Española de Protección de Datos, no están teniendo en cuenta el conjunto del Ordenamiento Jurídico al analizar la situación epidemiológica en que nos encontramos al llevar a cabo sus conclusiones desde el punto de vista de la normativa de protección de datos, lo cual nos lleva a un recorte jurídico inaceptable en la situación en que nos encontramos.

Mi conclusión es que las reflexiones jurídicas de la Agencia Española de Protección de Datos han sido elaboradas partiendo de la base de un “marco de normalidad en protección de datos” en el cual obviamente los datos de salud, solo y exclusivamente deben ser tratados por las autoridades y medios sanitarios.

Pero, la cuestión es que no nos encontramos en una situación de normalidad en salud pública, ni tampoco en protección de datos, por lo que la interpretación que se debe hacer de la normativa de protección de datos debe ser en un marco de interpretación sistemática del Ordenamiento Jurídico que sirva para anteponer unos bienes constitucionales ante otros: la salud pública y la vida de las personas ante el derecho a la protección de datos personales.

No es posible interpretar la normativa desde la óptica del poder de control empresarial derivado del artículo 20 del Estatuto de los Trabajadores “sin más”, sino que debemos ir más allá, o dicho en otras palabras, debemos valorar la situación desde la óptica de la protección de la salud en el entorno laboral y para cualquier persona. No podemos analizar la aplicación del derecho de prevención de riesgos laborales atendiendo a la situación exclusiva de lo que “ocurre en una oficina”, cuando lo que ocurre es una epidemia que traspasa los límites y las paredes de una oficina.

La Ley 33/2011, de 4 de octubre, General de Salud Pública, en su artículo 9 “Deber de comunicación” exige a cualquier persona que conozca hechos, datos o circunstancias que pudieran constituir un riesgo o peligro grave para la salud de la población, ponerlos en conocimiento de las autoridades sanitarias, quienes velarán por la protección debida a los datos de carácter personal y en su apartado segundo advierte de que, “lo anterior se entiende sin perjuicio de las obligaciones de comunicación e información que las leyes imponen a los profesionales sanitarios”.

 El artículo 21, apartado c) de la Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales “Riesgo grave e inminente”, establece que cuando los trabajadores estén o puedan estar expuestos a un riesgo grave e inminente con ocasión de su trabajo, para su seguridad, la de otros trabajadores o la de terceros, el empresario estará obligado a disponer lo necesario para que el trabajador que no pudiera ponerse en contacto con su superior jerárquico, ante dicha situación, esté en condiciones, habida cuenta de sus conocimientos y de los medios técnicos puestos a su disposición, de adoptar las medidas necesarias para evitar las consecuencias de dicho peligro.

Otro ejemplo de “grandes declaraciones y poca concreción para las entidades responsables” es la del Comité Europeo de Protección de Datos, el cual ha publicado una reciente nota de prensa sobre tratamiento de datos personales en el contexto del Covid19 en el cual nos recuerda que el GDPR establece los fundamentos legales para permitir que los empleadores y las autoridades competentes de salud pública traten datos personales en el contexto de epidemias, sin la necesidad de obtener el consentimiento del interesado y ello se aplica, por ejemplo, cuando el tratamiento es necesario para los empleadores por razones de interés público en el área de la salud pública o para proteger intereses vitales (Art. 6 y 9 del GDPR) o para cumplir con otra obligación legal. Poca explicación para tan gran problema de salud pública como tenemos.

Para ir concluyendo, es preciso que las autoridades de control sean socialmente responsables y no se escurran en “arenas movedizas” con discursos o informes “diciendo sin decir”.

Tienen el deber de informar de manera clara e inequívoca sobre las pautas de tratamiento de datos personales que deben seguir los empleadores “en tiempos del coronavirus”, es decir, en un contexto excepcional y de alarma, haciendo una interpretación sistemática de las normas del Ordenamiento Jurídico que afectan tanto a salud pública como a protección de las personas y protección de datos, emitiendo medidas y protocolos concretos que los responsables de tratamiento puedan seguir en el tratamiento de datos de salud, con el fin de garantizar la salud de su personal y terceros y así evitar los contagios, sopesando la situación y sin amenazas de  multa, en un momento donde la tecnología y otros medios bien utilizados pueden ser de tanta ayuda. No basta con “una nota de prensa, un informe, unas “FAQs” y que el resto opine”.

En definitiva, vivimos una situación de excepcionalidad, y el estado de necesidad justificante prevalece. Las autoridades de control europeas deben emitir informes que tengan una aplicación práctica, dado que el problema y la situación son comunes, apartando su condición de “expertos solo en protección de datos” y explorando el Derecho con una verdadera visión holística, balanceando los derechos fundamentales en juego para garantizar que los empleadores (con independencia de su condición pública o privada) puedan llevar a cabo los tratamientos de datos personales necesarios y justificados para contener la propagación del coronavirus y evitar riesgos a las personas, tanto del personal de plantilla como de visitas, eso sí, con las debidas garantías que el Reglamento Europeo de Protección de Datos exige.

Las autoridades de protección de datos tienen una oportunidad de oro para hacer un buen trabajo atendiendo, como indica el Reglamento Europeo de Protección de Datos, al hecho de que el tratamiento de los datos de carácter personal debe estar concebido para servir a la humanidad y que el derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad.

Puede que merezca la pena ahora arriesgar en los criterios que en un futuro tener que aprender de los errores.

El nuevo Reglamento de protección de datos y las entidades deportivas

El  6 de Abril de 2016, la Unión Europea acordó la reforma de su política de protección de datos, instrumentalizada en la aprobación de un nuevo paquete legislativo entre cuyas medidas se incluye la aprobación del Reglamento general de protección de datos 679/2016, en adelante “RGPD”, que introduce novedades y mejoras significativas en la protección de este derecho fundamental de la Unión Europea.

El Reglamento entró en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta el 25 de mayo de este año. Hasta esa fecha, tanto la Directiva 95/46 como la normativa nacional vigente en esta materia, en nuestro país la LOPD y el RD 1720/2007, siguen siendo plenamente válidas y aplicables. Por tanto, se aproxima la fecha de aplicación del RGPD y los organismos públicos, empresas y, por supuesto, las federaciones deportivas y diversas entidades deportivas deberían estar finalizando las diversas tareas de actualización y adaptación de sus políticas y protocolos de protección de datos a las nuevas directrices que establece el Reglamento.

En líneas generales, el nuevo Reglamento trata de reforzar la protección del derecho de  las personas  a la protección de sus datos personales dentro del entorno comunitario, mediante la implementación de un único conjunto de normas directamente aplicable a los ordenamientos jurídicos de los Estados miembros. Esa armonización de la normativa de protección de datos coadyuva a la consecución de un verdadero mercado único digital, al garantizar la confianza y seguridad de los consumidores y la libre circulación de los datos personales entre los Estados miembros de la UE. Las novedades que incorpora este Reglamento exigen para la mayoría de países una concienzuda reforma de sus respectivas legislaciones vigentes en esta materia, de ahí el periodo transitorio de dos años para su entrada en vigor. En nuestro caso, debemos reseñar que el Consejo de Ministros aprobó el 10 de Noviembre de 2017 el proyecto de la nueva LOPD que actualmente se encuentra en fase de tramitación parlamentaria y será difícil que pueda aprobarse antes del 25 de Mayo de 2018.

Como consecuencia de la mayor protección de los derechos de las personas sobre sus datos y el reforzamiento de los diferentes mecanismos de control sobre los mismos, las entidades que tratan en su actividad diaria una gran cantidad de datos personales, algunos muy sensibles, como son las federaciones deportivas, clubes u otras entidades deportivas deberán adaptar su política de protección de datos para no incurrir en responsabilidad disciplinaria a partir del próximo 25 de Mayo.

Tratando de sintetizar las principales novedades y actuaciones que exige el nuevo RGPD, a continuación detallamos las principales cuestiones que, en nuestra opinión, las entidades deportivas deberán tener en cuenta para cumplir con la aplicación del RGPD:

  • Consentimiento: No se admite el consentimiento tácito o por omisión. El consentimiento debe ser inequívoco y explícito, que se deduzca de una clara acción afirmativa del interesado. Entre las principales acciones que se deberían realizar estarían la revisión de la redacción del clausulado legal de obtención de datos personales para que estos se recaben desde el consentimiento expreso y no por omisión o tácitamente, permitiendo que se pueda revocar en cualquier momento, de forma fácil.
  • Transparencia e información a los interesados: Se establecen nuevos requisitos de transparencia y derechos reforzados de información para los ciudadanos. Concretamente, toda información que se facilite a los interesados, ya sea para el tratamiento de sus datos o en respuesta al ejercicio de alguno de los derechos que están previstos, debe ser por escrito y ser concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje sencillo y claro. Recordemos que nuestra LOPD, sólo exige que se preste de forma expresa, precisa e inequívoca.

Concretando se debería revisar y/o modificar el clausulado informativo o nota legal con objeto de que su redacción sea clara y concisa y pueda resultar comprensible para cualquier lego en la materia. El nuevo RGPD establece el contenido mínimo que debe ofrecerse: fines para los que se está recabando el consentimiento, intención de transferencias internacionales, identificación del Delegado de protección de datos, perfiles….etc.

  • Reconocimiento de nuevos derechos: A los derechos tradicionales de acceso, rectificación, cancelación y oposición (“derechos ARCO”) reconocidos por la anterior Directiva comunitaria y por la LOPD, se reconoce a los interesados el ejercicio de nuevos derechos como el derecho al olvido, a la portabilidad de los datos, a la limitación del tratamiento de sus datos, así como la ampliación del derecho de acceso a los interesados permitiendo la obtención de una copia del registro de los mismos y la libertad de circulación de los datos en el entorno comunitario Se debería incidir en la adaptación de los procedimientos implementados para que faciliten a los interesados el ejercicio de estos derechos de una forma sencilla. Igualmente las entidades deben implementar mecanismos de respuesta ágil por parte del encargado del tratamiento que no dilate o ralentice estas acciones.
  • Medidas de responsabilidad proactiva: El nuevo RGPD no establece medidas concretas de control y seguridad, pero invoca el principio de responsabilidad proactiva, o prevención, de los procesadores de datos en función de los riesgos inherentes a cada organización. Entre las principales acciones que se establecen destacamos: 1) análisis de riesgos, protección de datos desde el diseño y por defecto; 2) mantenimiento de un registro de actividades de tratamiento (desaparece la inscripción de ficheros en la AEPD, obligando al responsable y al encargado del tratamiento a la llevanza de ese registro de actividades que equivaldría al actual documento de seguridad; 3) notificación de violaciones de seguridad: el responsable del tratamiento deberá notificar los fallos y violaciones de la seguridad de sus datos a ponerlo en conocimiento en las siguientes 72 horas a la autoridad de protección de datos competente, en España la AEPD; 4) evaluación de impacto de la protección de datos: conocida como EIPD, los responsables del tratamiento deberán identificar, con carácter previo a la implementación de una determinada medida, aquellas que puedan ocasionar un grave riesgo para los derechos y libertades de los interesados.

 

  • Delegado de protección de datos: Destacamos de forma independiente una de las medidas “estrella” de la proactividad de las empresas en la protección de los datos personales de los ciudadanos, el Delegado de protección de datos (DPD o DPO por sus siglas en inglés). Constituye una figura fundamental en la reforma iniciada por el nuevo RGPD europeo puesto que será el encargado de instaurar la cultura de la protección de datos en el seno de la entidad (“data compliance”), con total acceso a la cúpula directiva para asesorar y reformar aquellos procesos o métodos que sean necesarios para el cumplimiento de las nuevas políticas proactivas en esta materia. El RGPD establece una serie de entidades en las que será obligatoria la presencia de un DPD, entre las que debemos incardinar a las federaciones deportivas o los clubes deportivos por tener entre sus actividades principales el tratamiento a gran escala de datos sensibles o la observación habitual y sistemática de un número elevado de interesados.

El DPD mantendrá el contacto con la autoridad competente en esta materia y debe de tener autonomía en el ejercicio de sus funciones, debiendo el encargado o el responsable del tratamiento facilitarle todos los recursos que requiera para que pueda desarrollar su actividad. Será designado por sus cualidades profesionales y conocimientos especializados en esta materia, pudiendo formar parte interna de la plantilla de trabajo o ser externo y desempeñar sus funciones mediante un contrato de prestación de servicios. En aras de facilitar la labor de aquellas empresas que se vean obligados a contratar a un DPD, la AEPD redactó un esquema de certificación de Delegados de Protección de Datos con este objeto.

Otros aspectos como el establecimiento de los trece años como la edad mínima en la que el menor puede prestar su consentimiento para el tratamiento de sus datos, la transferencia de datos a nivel internacional o el régimen sancionador que prevé para los supuestos muy graves la imposición de multas administrativas de hasta veinte millones de euros o del 4% del volumen del negocio anual total si se trata de una empresa, reiteran la apuesta de la UE por este nuevo marco de protección de datos único para todos los Estados miembro.

En estos tres meses que restan para la aplicación del RGPD, salvo aprobación del nuevo proyecto de LOPD que actualmente se encuentra actualmente en fase de debate parlamentario, estas directrices, genéricas e interpretables en muchos casos, serán de obligado cumplimiento para todas aquellas entidades o federaciones deportivas cuyo obtención, tratamiento y protección de los datos que utilizan en el desempeño de su actividad cotidiana, y en consecuencia deben finalizar sus trabajos de adaptación para cumplir con las medidas enumeradas y no cometer ninguna infracción que derive en sanciones pecuniarias cuyo importe puede llegar a ser muy elevado.  Es importante reseñar que en el supuesto en el que no se apruebe el proyecto de nueva Ley Orgánica de Protección de datos antes del 25 de Mayo de 2018, el RGPD entrará directamente en vigor coexistiendo con aquellos artículos de la LOPD actual y su Reglamento de desarrollo que no se opongan en su redactado a lo estipulado por el Reglamento, generando graves problemas de inseguridad jurídica a entidades y ciudadanos.  Como referencia, señalar que a fecha 24 de Enero del presente año, únicamente Austria y Alemania han finalizado sus procedimientos legilastivos de adaptación a la nueva normativa comunitaria.

Por eso recomendamos a todas aquellas entidades deportivas que no hayan iniciado ningún trabajo de adaptación al nuevo RGPD, concierten convenios de colaboración empresarial con expertos en “data compliance”, como es el caso de GC Legal, con objeto de implementar a la mayor brevedad posible las principales tareas de adaptación al nuevo RGPD.

Las “nuevas” restricciones al flujo de datos de solvencia patrimonial en el Proyecto de Ley Protección de datos personales

Como complemento al post que publiqué ayer relativo a la, a mi juicio, deficiente regulación del préstamo responsable en el Proyecto de Ley de Crédito Inmobiliario, es necesario hacer referencia al  Proyecto de LOPD de 24 de noviembre de 2017 (PLOPD) en lo que se refiere a los flujos de datos de solvencia patrimonial. Difícilmente se puede construir un adecuado régimen jurídico del préstamo responsable si el prestamista carece de datos ciertos y fiables acerca de la solvencia del prestatario.

Hay que partir de la premisa de que a los prestamistas les interesa que haya información asimétrica en el mercado de crédito. Las dificultades que genera esta falta de datos fiables provoca que sea más difícil distinguir entre buenos y malos pagadores, mayor riesgo que se compensa con el aumento del coste crediticio para todos los solicitantes, pagando justos por pecadores, tal y como expliqué aquí. Pero además, las restricciones al flujo de datos de solvencia dificultan el establecimiento de consecuencias jurídicas para el prestamista cuando no evalúa correctamente la solvencia del prestatario: siempre se ampararán que no hay datos fiables o que ha sido el consumidor el que no ha aportado información relevante. Dejar en manos del consumidor la responsabilidad de aportar todos los datos de solvencia, facilita la impunidad del préstamo irresponsable. Y es de esperar que las asociaciones de consumidores empiecen a percibir que cuando se oponen al flujo de datos positivos a quien están tutelando es a la banca y no al consumidor.

Por eso, aun con riesgo de aburrir al lector con estos temas, se trata de dos cuestiones íntimamente relacionadas y que están encima de la mesa con dos proyectos de ley en tramitación: la regulación del préstamo responsable y la de los datos de solvencia patrimonial.

El PLOPD tiene como objetivo el desarrollo o complemento del Reglamento Europeo de protección de datos personales de 27 de abril de 2016 (REPD). Aunque este texto es de eficacia directa puede exigir otras normas internas complementarias para hacer plenamente efectiva su aplicación.  Este es el objetivo del proyecto.

El REPD no establece ninguna regulación específica en materia de datos de solvencia patrimonial. Sí se ocupa de ello el PLOPD. Y a explicarla brevemente me voy a ocupar en este post.

El proyecto dedica el art. 20 a la regulación del “sistema de información crediticia”, ocupándose sólo de los datos de solvencia negativos. A diferencia del Anteproyecto de LOPD que incluía una regulación de los ficheros positivos de solvencia en su art. 14 estableciendo la necesidad de consentimiento del afectado para que la entidad compartiera datos de solvencia positivos (aquellos que reflejan el nivel de endeudamiento del deudor y su buen comportamiento crediticio). Por el contrario, tal consentimiento no era preciso para que se compartan datos negativos (los denominados ficheros de morosos).

Pues bien, la primera novedad es que en el PLOPD deja sin regulación a los ficheros positivos de solvencia, esenciales para que el prestamista pueda evaluar la solvencia. Esto puede ser una buena o mala noticia según se mire. Buena porque desaparece del texto la necesidad de consentimiento del afectado, dejándose la puerta abierta a que los datos de solvencia puedan compartirse con base en otros criterios que determinan la licitud del tratamiento como son el interés legítimo perseguido por el responsable del tratamiento de los datos o por un tercero siempre que sobre dichos intereses no prevalezcan los derechos y libertades fundamentales del interesado.

Conviene llamar la atención de que, en el REPD, el consentimiento es un título más que legitima la licitud de tratamiento de los datos personales y que convive con otros del mismo rango como el interés legítimo del responsable del tratamiento o el cumplimiento de una obligación legal o de una misión de interés público (art. 6). No sucede como, en la todavía vigente, LOPD en la que el consentimiento es el título de legitimación principal que se excepciona en determinados casos. Por lo tanto, el hecho de que el PLOPD excluya la referencia a la necesidad de consentimiento no impide que se puedan compartir los datos con base en otro título que legitime la licitud del tratamiento y que entre la regla general del consentimiento. Con base en el REPD, el consentimiento no es la regla.

Pues bien, el art. 20 PLOPD sí que se refiere a los datos negativos de solvencia, señalando que, salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando se cumplan una serie de requisitos.

A diferencia del actual art. 29 LOPD en que tal presunción no existía, sino que el flujo de datos negativos era posible y lícito sin consentimiento del afectado, ahora se establece una presunción de licitud y sólo para los datos negativos.

¿Por qué se establece sólo una presunción de licitud? Parece que el cambio lo ha motivado el Dictamen del Consejo de Estado sobre el Anteproyecto de LOPD al señalar que el REPD no permite que los Estados miembros determinen ex lege cuándo un tratamiento de datos corresponde a un interés legítimo, sino que éste debe ser valorado en cada caso por el responsable del tratamiento y, en su caso, por las autoridades de protección de datos y los órganos jurisdiccionales.

Vamos que el razonamiento es el siguiente: como ningún particular daría su consentimiento para que se compartieran datos negativos de solvencia, el sistema se construye sobre la base de una presunción de interés legítimo del responsable del tratamiento de los datos, de forma que no haya que esperar a una resolución ad hoc de la Agencia de Protección de Datos para que los morosos puedan ver sus datos negativos en un fichero de solvencia patrimonial.

¿Y por qué no se ha seguido el mismo criterio con los ficheros positivos? Pues por lo de siempre: la presión de las entidades financieras. Las mismas razones que justifican que los prestamistas compartan datos negativos de solvencia, fundamentan que se compartan datos positivos, tal y como he señalado en otras ocasiones.

Un ciudadano con ingresos y sin haber sido moroso puede ser un insolvente si tiene muchos préstamos asumidos. Esta información queda fuera del sistema en España con este nuevo proyecto, o a expensas de que la Agencia de Protección de Datos (APD) considere si hay o no interés legítimo. Ya sabemos cuál es la opinión de la APD al respecto, absolutamente contraria a que se compartan datos positivos de solvencia patrimonial sin consentimiento del afectado, algo que beneficia a las entidades financieras dominantes que no quieren compartir datos de sus buenos clientes. Sin embargo, cualquier dato, pertinente o no, puede ser solicitado por las entidades financieras tal y como expliqué aquí.  La buena reputación financiera sigue encontrando con este Proyecto de LOPD muchos obstáculos, encubriéndose un problema de competencia de uno de privacidad tal y como explico en este video y en este.

Pero esto no es todo, también se imponen restricciones adicionales al flujo de datos negativos de solvencia que sólo favorecen a los morosos. Así, y por citar un ejemplo, el tiempo que los datos negativos tienen que estar en un fichero se ha reducido. En la regulación actual, a los 6 años, el dato negativo debe desaparecer del fichero a pesar de que la deuda no se haya cumplido cuando se trata de deudas de vencimiento no periódico. Esto significa que la cantidad adeudada que aparece en el registro siempre será menor que la realmente debida. El PLOPD reduce este plazo a 5 años (art. 20.1 d)). Esto genera todavía más información asimétrica incluso para los datos negativos. Así es imposible introducir disciplina en el mercado de crédito: la LOPD favorece a los morosos y el Proyecto de Ley de Crédito Inmobiliario (PLCI) favorece al prestamista irresponsable. En suma, todo un despropósito.

No tiene sentido que se establezca la obligación de evaluar la solvencia en el PLCI y, sin embargo, en otro proyecto de ley se establezcan estas restricciones al flujo de datos de solvencia patrimonial. El planteamiento no puede ser más contradictorio. Las entidades financieras e intermediarios de crédito deben estar obligadas a compartir datos de solvencia positivos y negativos y deben estar obligadas a consultar las bases de datos. Esto lo tiene que establecer el PLCI. Por su parte, el PLOPD debe legitimar el tratamiento de estos datos con base en “el cumplimiento de una obligación legal”. Este diseño no lo impide el REPD que da este margen de maniobra en el art. 6.2.

Cosa distinta es que esta regulación deba venir acompañada de otra específica para el control de la actuación de los bureaus de crédito, al estilo de la establecida en la Fair Credit Reporting Act en Estados Unidos. Se puede proteger perfectamente la privacidad sin necesidad de diseñar un sistema que favorezca a los morosos y a los prestamistas irresponsables. Basta con crear un marco jurídico que incentive la disciplina de los operadores del mercado de crédito.

Aprovecho para poner el link de la extraordinaria conferencia impartida en el Congreso sobre Insolvencia y Mercado de Crédito por el prestigioso profesor don  Jorge Padilla sobre “Efectos económicos de los sistemas de información crediticia”. https://www.youtube.com/watch?v=5M7snNShtIY&feature=youtu.be

HD Joven: El nuevo Reglamento General de Protección de Datos y la realidad práctica de las más recientes resoluciones judiciales

Las  Nuevas Tecnologías de la información y los datos personales están en constante cambio y transformación. Cada día aparecen nuevas formas de transferir datos, inventos que facilitan al ser humano su desarrollo y nuevos métodos de análisis e investigación basados en la tecnología junto con las primeras grandes nuevas tecnologías aplicadas.

Por eso, hoy en día está en boca de todos que próximamente (mayo de 2018) entrará en vigor el nuevo Reglamento general de protección de datos (General Data Protection Regulation). Una gran parte de la población está especialmente pendiente de esta normativa, porque plantea grandes modificaciones para las empresas y los ciudadanos que, además, también  afectarán a las Administraciones Públicas. Pero, ¿qué está ocurriendo verdaderamente en la práctica del mundo de los datos? ¿Cuáles son las infracciones más “denunciadas”? ¿Y cómo están resolviendo los órganos jurisdiccionales en esta materia de constante e imparable movimiento?

En primer lugar, no es característicamente alto el volumen de resoluciones en materia de protección de datos. Y esto es así porque, como los primeros conflictos en esta materia han tenido lugar tras el especial auge de las Nuevas Tecnologías (cuyo comienzo señalan los expertos que tuvo lugar a partir de mediados del año 2007, con la llegada del Iphone), es lógico que un número suficiente de los conflictos no han llegado a las instancias judiciales hasta pasados varios años,  por lo que no hemos comenzado a tener un número bastante de resoluciones hasta los años 2014 y 2015.

Dentro de esta falta de suficientes resoluciones, lo cierto es que podemos diferenciar dos situaciones: la situación nacional y la europea, o, lo que es lo mismo, las resoluciones de órganos jurisdiccionales españoles y las resoluciones del  Tribunal de Justicia de la Unión Europea (TJUE) y del Tribunal Europeo de Derechos Humanos (TEDH).

A nivel nacional, un gran número de sentencias de los altos tribunales (Tribunal Supremo –TS- y Tribunal Constitucional –TC-) se han centrado en el análisis de la vulneración (o no) del derecho a la protección de datos en la videovigilancia en el centro de trabajo y en el tratamiento automatizado de datos sin consentimiento del trabajador. A modo ilustrativo, puede leerse la Sentencia del Tribunal Superior de Justicia de Madrid de 29 de septiembre de 2014,  la Sentencia del TS de 12 de noviembre de 2015 y la Sentencia del TC de 3 de marzo de 2016. En resumen, nuestros órganos han venido a resolver considerando que no existe vulneración del derecho a la protección de datos en la videovigilancia  empresarial en el centro de trabajo siempre y cuando la finalidad sea la seguridad y/o el control laboral. En este mismo ámbito, se ha estimado que se vulnera la protección de datos de carácter personal y el honor de los trabajadores cuando se transmite de una empresa a otra un “fichero de personas conflictivas” o “lista negra”.

Otra cuestión que ha sido tratada por jueces y magistrados españoles es la posibilidad de que el ciudadano, no personaje público, se oponga a que sus datos personales aparezcan en un simple buscador de Internet al que todos tenemos acceso. Por otro lado, como decíamos, las Administraciones tampoco se salvan de verse envueltas en esta tormenta. Ha sido el TC el que, por Sentencia de 25 de septiembre de 2015, ha tratado el derecho del interesado a ser informado, tanto de la posibilidad de que sus datos del Registro autonómico sean cedidos, como del concreto destino de éstos, concluyendo que no es suficiente con que el interesado conozca que tal cesión puede tener lugar, sino que ha de ponerse en su conocimiento también las circunstancias de cada cesión concreta (a quién se ceden, qué información se transfiere y con qué finalidad se proporcionan).

Partimos, por lo tanto, de que son pocos los casos que llegan a los tribunales españoles, y por ello, los pronunciamientos en materia de protección de datos de altas instancias son insuficientes.Y, dentro de esa escasez, predominan las resoluciones sobre protección de la imagen como dato personal en el ámbito laboral.  Ello hace que no exista una base sólida de casos que permita fijar conceptos y límites en el ejercicio de derechos fundamentales dentro del mundo de la tecnología y los datos personales.

A nivel  europeo tendremos que diferenciar dos líneas: la del TJUE y la del TEDH. Y ello porque, al ser sus funciones distintas, la línea de sus resoluciones también difieren entre sí, aunque son acordes a las funciones que cada uno tiene encomendado. Encontramos, sin ánimo de ser exhaustivos, desde 2014 en adelante, varias resoluciones: la Sentencia del TJUE de 11 de diciembre de 2014, la  Sentencia del TJUE de 1 de octubre de 2015, y, más recientemente, la del TJUE de 4 de mayo de 2017  o el Dictamen del mismo órgano de fecha 26 de julio de 2017. Todas ellas examinan el cumplimiento de la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y su libre circulación, y su relación a la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas. De manera resumida, tienen especial importancia las siguientes ideas:

  • La imagen de una persona grabada por una cámara constituye datos personales porque permite identificar a la persona en cuestión.
  • Si una Administración Pública de un Estado miembro transmite datos personales a otra Administración,  dicha Administración Pública remitente debe informar a los interesados de la transmisión.
  • El responsable del tratamiento de los datos no está obligado a comunicar datos personales a un tercero para que éste último pueda interponer una demanda frente a un sujeto del fichero a quien pretende demandar. Sin embargo, nada impide que el Derecho nacional permita tal comunicación.

Como vemos, la falta de una cantidad suficiente de procesos lleva a que las reflexiones y los pronunciamientos sean sentencias sobre materias desmesuradamente concretas, sin poderse fijar una línea de conocimiento central.

Por su parte, el TEDH ha acumulado un mayor número de resoluciones judiciales que el TJUE, en las que sí han llegado a definirse unos conceptos mínimos del universo de las tecnologías. Y, en concreto, se ha procedido a definir qué son los datos personales (Caso  Mccullough v. Cedefop), qué puede entenderse por procesamiento de datos personales (Caso Smaranda Bara et Al. V. Presedintele Casei Nationale de Asigurari De Sanatate y Caso Weltimmo s. r. o. contra Nemzeti Adatvédelmi és Információszabadság Hatóság.), qué son los principios de necesidad y  proporcionalidad (Case ClientEarth.), medidas de seguridad (Caso Worten-equipamentos para o Lar Sa V. Act Authority for working conditions), el concepto de información (Caso Smaranda bara) o qué debe entenderse por un nivel mínimo de protección (Caso Maximillian Schrems contra Data Protection Commissioner), entre otros.

Además, desde esta misma perspectiva internacional, resulta que Alemania cuenta con un Libro blanco (o White book, esto es, un informe o publicación oficial del gobierno en una materia para plantear datos, estándares y soluciones) dirigido a los órganos legislativos o/y a la opinión pública para comprender, resolver y afrontar la protección de datos.  Reino Unido también cuenta con un Libro blanco que fija parámetros para evaluar el impacto sobre la privacidad de los procedimientos de gestión de datos. Si recientemente Alemania, pionera en la industria de la tecnología energética, ha procedido a plantear el referido Libro blanco para analizar en profundidad el tema de la protección de datos y, mucho antes,  Reino Unido, el grandioso centro de cruce de valiosos datos, creó el suyo propio, parece cuanto menos, conveniente, que España al menos se plantee la necesidad y el beneficio de contar con dicho tipo de informe que recoja reglas y  pautas útiles en esta materia.

Frente a la referida escasez, las publicaciones, obras y comentarios que tratan el tema de la protección de datos son altamente numerosas. Dentro de esta variedad, podríamos resumir las principales informaciones con un desarrollado titular: el derecho fundamental a la protección de datos personales es uno de los más importantes en la sociedad actual, dentro del cual los datos se han convertido en el petróleo de la economía moderna, en una moneda de cambio. Esto genera grandes retos y responsabilidades que gobiernos e instituciones deben enfrentar de manera obligada, pues el proceso de globalización en el que vivimos y el continuo avance tecnológico unidos a  la falta de conocimientos y de información del ciudadano de a pie, está llevando a los usuarios a sufrir una falta de control sobre los datos que ceden. Y es que acceder a internet o crearse una cuenta en una red social es gratuito, pero detrás de esa aparente gratuidad, existe un ansiado valor “extraordinario” para las empresas y el mercado: información, datos, que les permiten conocer  los gustos y tendencias del consumidor y actuar acorde a ellos en el mercado.

 

¿Por qué es bueno para el consumidor que las entidades financieras compartan datos positivos de solvencia?

Resulta muy curioso que en España no exista ningún tipo de debate sobre un tema TRASCENDENTAL para la prevención de crisis financieras, como es el relativo al flujo de datos sobre solvencia patrimonial. Al final del post espero que todos puedan entender por qué ni se habla ni se quiere que se hable de este tema.

En este post quiero reflejar las ventajas que tiene esta cuestión para los consumidores, problema al que –sorprendentemente- las asociaciones de consumidores en España no han prestado ninguna atención, a pesar de que el que exista información asimétrica en el mercado de crédito en realidad a quienes favorece es a los bancos.  No me puedo creer que estas asociaciones hayan cambiado de bando. Prefiero pensar que lo que hay es un desconocimiento de las ventajas reales que tiene el que las entidades compartan datos positivos de solvencia.

En España los datos que se refieren a nuestra mala reputación financiera fluyen sin problemas. Si incumplimos nuestras obligaciones o nos declaramos en concurso de acreedores, todos los prestamistas lo saben rápido. No es, por supuesto, necesario el consentimiento del afectado para que los bancos compartan esos datos. La privacidad se protege de “otra forma”, sin que se supedite la transferencia de datos al consentimiento del afectado, quien, obviamente, no lo daría nunca.

Sin embargo, los datos positivos de solvencia, (préstamos asumidos que no han sido incumplidos, están pendientes o han sido correctamente satisfechos) que son los que demuestran nuestra buena reputación financiera, no fluyen con la misma facilidad. Para que el prestamista comparta estos datos a un bureau de crédito (por ejemplo, Experian, Equifax) se necesita el consentimiento del afectado. Así lo dice el art. 14 de Anteproyecto de LOPD que acaba de hacerse público y que pretende adaptar nuestra regulación al Reglamento Europeo de Protección de Datos (REPD). Adelanto ya que el Reglamento nada dice de los datos de solvencia patrimonial. La regulación proyectada es de “cosecha propia” del legislador español.

Es cierto que la Central de Información de riesgos del Banco de España (CIRBE) actúa como registro de crédito y provee de información información positiva a las entidades declarantes, pero no toda la información que recibe de éstas es compartida: solo podrán acceder a operaciones cuyo riesgo acumulado con la entidad sea, al final del mes al que se refieren los datos, igual o superior a 9.000 euros.

Por lo tanto, si yo sólo tengo una tarjeta revolving con una entidad con un límite de 3.000 euros, ese dato no lo comparte la CIRBE con el resto de entidades. Permanece opaco. Y puedo tener otra tarjeta en otra entidad que no sabrá de la anterior. El régimen jurídico deja espacio a la información asimétrica de forma deliberada…

¿Y por qué los datos que evidencian mi buena reputación financiera fluyen con más restricciones que los que muestran que soy un moroso? Se dice que la privacidad del particular se ve más comprometida porque morosos solo hay unos pocos y los ficheros positivos incorporarían datos de todos los ciudadanos que tienen préstamos asumidos.
La excusa es la protección de la privacidad y es una excusa porque los datos positivos no son más sensibles que los negativos. Todo lo contrario.  No informan de en qué nos hemos gastado el préstamo asumido. Señalan que tenemos, por ejemplo, tres tarjetas de crédito, los límites disponibles y que pagamos religiosamente el recibo todos los meses. Es decir, los datos positivos informan del nivel de endeudamiento y de nuestro buen comportamiento crediticio.

Ahora que tanto se habla de préstamo responsable y tenemos que transponer la directiva de crédito hipotecario, cualquiera entenderá que malamente se puede exigir al prestamista que evalúe la solvencia del deudor si no le proporcionamos datos precisos para que pueda hacerlo. Si solo le damos datos negativos, la información es incompleta (información asimétrica), porque yo puedo no ser moroso (porque no he incumplido), tener un buen sueldo y haber asumido un montón de deudas con otros prestamistas. Si el banco al que le pido el préstamo no conoce que deudas tengo asumidas con otros prestamistas se arriesga a dar crédito a personas ya sobreendeudadas. Y esto pasa cuando el banco al que le pido el préstamo no tiene acceso a datos positivos de solvencia. Por eso, el flujo de datos positivos es una herramienta para la prevención del sobreendeudamiento privado que está detrás de esta crisis.

¿Cuáles son las ventajas reales que para el consumidor tiene el que se compartan datos positivos?

1º. Fomentan la inclusión financiera: se presta más y se presta mejor. Cuando el prestamista carece de información fiable, su reacción es la de denegar créditos a personas que deberían ser aceptadas o pedir garantías adicionales. Con los ficheros positivos, aumenta la tasa de aceptación. En una simulación realizada en EEUU, con una tasa aceptada de incumplimiento del 3%, si solo se comparte información negativa, la tasa de aceptación era del 39,8%. Incorporándose datos positivos, la tasa se incrementa al 74,8%. La diferencia es sustancial.

Esto se entiende con un ejemplo cotidiano. Un matrimonio casado en régimen de gananciales que tienen tres hijos comunes. Sobreviene el divorcio y el cónyuge custodio pide nuevas tarjetas de crédito en distintas entidades o comercios. La respuesta en un sistema en el que solo se compartan datos negativos es que se le aplique el riesgo promedio. Un divorciado que tiene la custodia de tres hijos tiene un riesgo promedio de impago alto porque estadísticamente son los que impagan. Si el prestamista no puede acceder a sus datos positivos de solvencia, la probabilidad de denegación es alta o si se le concede una tarjeta revolving, el límite disponible será bajo. Por lo tanto, que no fluyan datos positivos genera exclusión financiera para sujetos que no lo merecen. Si solo se atiende a criterios de capacidad de pago y no de comportamiento de pago, se restringe el acceso al crédito.

También se aprecia este efecto en el mercado arrendaticio ¿Se imaginan las ventajas que puede tener el que el arrendador pueda acceder al historial crediticio del potencial inquilino? En España contratamos a ciegas, porque el arrendador no tiene forma de saber si el inquilino es solvente o no. Pero qué casualidad, esta opacidad de información genera un mercado que beneficia a las entidades financieras dada la habitual exigencia de avales como garantía…

2º. Disminución de la tasa de morosidad.

Si solo fluye información negativa se sanciona a los deudores que han incumplido, pero no se informa de los prestatarios de alto riesgo que todavía no han incumplido, pero tienen un alto nivel de endeudamiento. Y no basta mirar la nómina y que no haya impagos. Un señor con una nómina de 5.000 euros y pasivos contraídos por 4.500 es un deudor insolvente. Los ficheros negativos no informan de los pasivos contraídos y ello provoca que aumente la tasa de incumplimiento. Ésta, por el contrario, se reduce si también se comparten datos positivos.

Este efecto está testado empíricamente. Un estudio con muestras tomadas de países de América Latina (Argentina y Brasil), y sobre la base de información positiva compartida por Registros públicos, pone de relieve la disminución de las tasas de incumplimiento cuando se comparte información positiva Así, en Argentina la disminución de la tasa de incumplimiento fue de un 21,8% y en Brasil de un 45,4%, sobre la base de un porcentaje de aprobación del 60%.

3º. Permiten el ajuste del coste crediticio a la prima de riesgo, como pasa en los seguros.

Cuando se comparten datos positivos, se evita que el riesgo de incumplimiento se propague a los buenos pagadores. Cuando el prestamista no tiene datos suficientes, tiene dos opciones: O aumenta las denegaciones de crédito, o concede el préstamo aumentando el coste crediticio a todos los solicitantes: buenos y malos pagadores. Es decir, ante el mayor riesgo de incumplimiento consecuencia de no poder distinguir entre buenos y malos pagadores (por falta de datos), las entidades tenderán a integrarlo en el cálculo del coste del crédito para todos los prestatarios, de manera que los buenos pagadores asuman los costes del incumplimiento de los malos pagadores. Esta es la amenaza constante de la banca ante regulaciones como la segunda oportunidad o las sentencias que protegen los derechos de los deudores. Su amenaza es aumentar el coste A TODOS. Y ya lo han hecho: en España tenemos ya el crédito al consumo más caro de la Eurozona y ya esté empezando a pasar con el préstamo hipotecario

No es verdad que para tener un crédito barato haya que diseñar un sistema que proteja desmesuradamente a los acreedores. Lo determinante es el sistema de información crediticia y que el coste se ajuste a la prima de riesgo como sucede con el seguro.

Un ejemplo de esto lo tenemos en USA donde son los propios consumidores los que piden a los prestamistas que compartan datos positivos porque les beneficia ¿Cómo?

Con los datos positivos y negativos que los prestamistas proporcionan a los credit bureau, éstos determinan el credit score o prima de riesgo con base a los datos obrantes en el informe de crédito. Pedir un préstamo y pagarlo mejora el score.

El rango de calificación FICO es de 300-850 puntos. Cuanto más alto es, mejor. Se clasifica a los solicitantes en función de su score en Excelente, muy bueno, bueno, razonable y deficiente o subprime. El coste crediticio es distinto en función de la prima de riesgo. Así, en tarjetas de crédito revolving, el tipo de interés para la calificación de excelente era del 14% y para una calificación de subprime 24,99%. La diferencia es sustancial. Ser buen pagador, tiene premio y eso supone un incentivo al buen comportamiento crediticio que es lo que necesitamos en España: que los deudores tengan incentivos PARA CUMPLIR.

Esto no pasa en España: aquí pagamos igual buenos y malos pagadores.

Y si son tantas las ventajas ¿Por qué en España se dificulta el flujo de datos positivos y se favorece solo el de los negativos?

Porque en el fondo a quien se está protegiendo con este sistema es a los bancos. Y ello por dos razones:

1º. Obligar a las entidades a compartir datos positivos o eliminar barreras para su flujo favorece la competencia entre entidades financieras. Si los datos positivos del cliente fluyen, éste tiene más posibilidades de cambiar de prestamista porque cualquiera de los que operan en el mercado pueden acceder a su historial crediticio y hacer ofertas a los mejores clientes. Y esto es lo que no quieren las entidades dominantes en un sistema financiero tan concentrado como el nuestro.

Cuando unos bancos tienen muchos más clientes que otros, las entidades de mayor dimensión no tienen interés en compartir datos porque aportan más de los que reciben, luego su incentivo es negativo. ¿Creen ustedes que el Banco de Santander quiere compartir datos, por ejemplo, con ING? Evidentemente no: aporta más de lo que recibe.

La negativa a compartir información positiva obstaculiza la competencia y no permite que un buen consumidor aproveche sus buenos antecedentes crediticios a fin de obtener mejores condiciones de préstamo. Por eso en en EEUU han sido los propios consumidores los que han pedido a American Express que comparta los datos de sus clientes.

2º. Que no se compartan datos positivos dificulta la regulación del préstamo responsable.

Sin datos fiables no es posible construir un régimen adecuado de la obligación del prestamista de evaluar la solvencia. Si dejamos en manos del consumidor la información sobre su solvencia, la entidad se escudará en ello para no responder y dar préstamos sin saber el nivel de endeudamiento del cliente.

Esta vinculación está presente en la Directiva de Crédito hipotecario y la de Crédito al consumo que regulan la obligación de evaluar la solvencia y exige que todos los Estados miembros puedan acceder a las bases de datos pública y privadas de otros Estados. Parece claro que malamente se puede obligar al prestamista a evaluar la solvencia si no se le proporcionan datos fiables para realizar tal evaluación. Sin datos tampoco se podrán establecer sanciones para el caso de incumplimiento, sanciones que según la Directiva de crédito hipotecario deben ser disuasorias, efectivas y proporcionadas.

En conclusión, que las entidades compartan datos positivos es BUENO PARA EL CONSUMIDOR y la protección de la privacidad es una excusa. El Anteproyecto de LOPD que acaba de publicarse PONE TODAVÍA MÁS OBSTÁCULOS AL FLUJO DE DATOS POSITIVOS a los bureaus de crédito privados ¿SE PUEDE LEGISLAR PEOR? Yo creo que no… Menos mal que los cambios vendrán de la UE, pero eso lo cuento en otro post.

Novedades e implicaciones prácticas del nuevo Reglamento General de Protección de Datos Personales de la UE .

El pasado 18 de enero la Fundación Hay Derecho organizó en el Colegio de Abogados de Madrid una mesa redonda sobre las novedades que introduce el Reglamento General de Protección de Datos (RGPD) que ha entrado en vigor 25 de mayo de 2016 y será de obligado cumplimiento en toda la UE el 25 de mayo de 2018.

La UE ha profundizado en la protección de la privacidad desde una regulación general y el instrumento normativo ahora es un Reglamento (a diferencia de la Directiva de Protección de datos de 24 de octubre 1995) que, por lo tanto, resulta de aplicación directa, aunque también deja cierto margen al derecho local.

Sin duda, el RGPD es actualmente una de las normas más importantes de la legislación europea, puesto que se trata de una norma transversal, que afecta a todos los ámbitos. Por eso esta materia interesa a todos, ciudadanos, juristas, empresarios y a todos aquellos que manejen datos personales.

Los cambios que introduce la nueva regulación son de enorme calado, pudiéndose hablar de un “nuevo modelo europeo de protección de datos”.

Las novedades afectan a cuestiones tan relevantes como los deberes de información, la forma en la que debe prestar el consentimiento el titular de los datos que debe ser siempre “explícito”. Se introducen nuevas herramientas para el control de los datos como el derecho al olvido o la portabilidad de los datos. Las empresas y organismos deberán introducir muchos cambios en su forma de actuar, adoptando medidas en materia de prevención, de forma que puedan demostrar que están condiciones de cumplir las normas que el Reglamento establece.

¿Cómo debe adaptarse la legislación española al nuevo Reglamento? ¿Cómo puede el titular de los datos utilizar las nuevas herramientas de control de sus datos? ¿Cómo afecta la regulación a los ficheros de solvencia patrimonial (conocidos como “ficheros de morosos”)? Se trata de cuestiones relevantes que van a afectar al día a día de los ciudadanos. Por eso, desde la Fundación Hay Derecho decidimos organizar este evento, moderado por la coeditora Matilde Cuena,  en el que intervinieron ponentes de reconocido prestigio, especializados en la materia con los que pudimos aprender y debatir.

Para don Juan Antonio Hernández Corchete (Profesor Titular de Derecho Administrativo. Universidad de Vigo. Letrado del Tribunal Constitucional. Experto ante el Consejo Asesor de Google sobre Derecho al olvido), el RGPD supone un gran paso adelante porque reduce la disparidad normativa, con lo que fomenta un mercado digital único. Esa uniformidad tiene como inconveniente que los conceptos genéricos como el de interés legítimo como base legal de tratamiento no puede ser precisado normativamente por los Estados Miembros, pues solo así se evita la vuelta a la disparidad. También reduce la disparidad en la ejecución, a través de la regla de one stop shop (ventanilla única) y del mecanismo de coherencia atribuido al Comité Europeo de Protección de Datos.

Respecto a cómo impacta el RGPD en la normativa nacional, don Antonio Troncoso (Catedrático de Derecho Administrativo. Universidad de Cádiz. Exdirector de la Agencia de Protección de Datos de la Comunidad de Madrid) señaló que el RGPD desplaza la normativa nacional que sea incompatible con el Reglamento europeo. Por ello, se deben inaplicar los preceptos de la Ley Orgánica de Protección de Datos Personales (LOPD) y Reglamento español de Protección de Datos Personales (RPDP) que sean incompatibles con el RGPD. Le corresponde al legislador y al Gobierno derogar esas normas para garantizar la seguridad jurídica. Hay que tener en cuenta que la primacía del derecho comunitario no es supremacía y no afecta a la validez de las normas internas. El RGPD, si bien ha reducido el núcleo decisorio de capacidad normativa de cada Estado, establece algunas excepciones permitiendo previsiones normativas de los Estados miembros, en algunas materias como la definición del interés público por Ley de cada Estado, el ámbito sanitario, las relaciones laborales o el consentimiento de los menores de edad.

En relación a las implicaciones del RGPD en el ámbito sanitario se pueden subrayar algunas cuestiones: el RGPD define el dato de salud, tomando en gran medida la definición del RPDP, añadiendo el pago de una prestación sanitaria; mantiene la tipología de datos especialmente protegidos, incluyendo los datos biométricos y los datos genéticos, que se diferencian de los datos de salud; añade la medicina preventiva o laboral y la evaluación de la actividad laboral del trabajador, la calidad y la seguridad de los medicamentos y la garantía del régimen del seguro de enfermedad como finalidades legítimas para el tratamiento de datos especialmente protegidos sin consentimiento del interesado; lleva la investigación sanitaria al régimen general de la investigación histórica, estadística y científica, exigiendo el principio de minimización de los datos personales y la seudonimización, pero no avanza en los criterios de legitimación de estos tratamientos –consentimiento o ley-.

Uno de los aspectos más novedosos del RGPD es el nuevo tratamiento del consentimiento del titular de los datos. A esta cuestión se refirió don Lorenzo Prats Albentosa (Catedrático de Derecho Civil. Universidad Autónoma de Barcelona).

La Carta de los Derechos Fundamentales de la Unión Europea reconoce que ” Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan” (Art. 8). Y lo hace diferenciándolo del derecho fundamental al respecto de la vida privada y familiar (Art. 7), dándole un tratamiento autónomo.

Los datos personales, como objeto de este derecho fundamental, son concebidos como bienes patrimoniales de la persona. Pero, en tanto que son el bien en el que el derecho se materializa (se “cosifica”), la Carta delimita la facultad de disponer de la persona y establece bajo qué actos puede realizar y bajo qué presupuestos ha de realizarlos y, en todo caso, subraya la revocabilidad del acto de disposición por su titular. Así, se dispone en la Carta que ” Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento expreso de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley” y, a continuación se dice “Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación.”

El RGPD desarrolla este derecho fundamental europeo y regula, sobre la base del consentimiento expreso del titular de los datos, todo acto de cesión a terceros para su tratamiento. De modo que todo acto de tratamiento sin previo consentimiento lesiona el derecho fundamental (es ilícito, Art. 6), salvo que se encuentre dentro de aquellos casos en los que, excepcional y restrictivamente, el Reglamento admite un tratamiento de datos sin previo consentimiento. No obstante, al responsable del tratamiento se le impone la carga de demostrar la licitud del mismo (art.7) y, en su caso, las consecuencias de la ilicitud. A este efecto, dice el Art. 8 de la Carta “. El respeto de estas normas quedará sujeto al control de una autoridad independiente.” Pero, además, el titular del dato siempre podrá obtener la reparación que proceda como consecuencia del daño padecido por su tratamiento ilícito”.

 ¿Están los datos de solvencia patrimonial necesariamente sujetos al régimen del consentimiento del afectado? A esta relevante cuestión se refirió don Pablo Pascual (Director de la Asesoría Jurídica de Experian España). A su juicio, “el cambio que implica el RGPD no estriba tanto en el contenido material de las normas, pues se mantienen con matices los principios generales de protección de datos que ya conocíamos, sino en el espíritu que anima este contenido y subyace tras la aprobación del Reglamento. La novedad está en el principio de “responsabilidad proactiva” (traducción libre del término inglés “accountability”) que lleva la exigencia en todos los niveles de la organización de los responsables del tratamiento, de un cumplimiento mucho más riguroso de las normas de protección de datos, para lo que se establecen figuras, procedimientos, controles y garantías adicionales. Pero al mismo tiempo el Reglamento es una norma enormemente genérica, que se mueve en el nivel de los principios, y que no desciende normalmente al nivel de las reglas concretas. Esto supone un claro deterioro de la seguridad jurídica, sobre todo en el contexto del estilo de supervisión que se ha realizado tradicionalmente en España.

El Reglamento no contiene referencia alguna, directa o indirecta, a los servicios de información sobre solvencia patrimonial y crédito (ficheros de solvencia), por lo que, salvo que el legislador español lo remedie, se produciría la circunstancia de que este sector tan importante de tratamiento automatizado de datos carecería por primera vez de regulación específica de detalle. En todo caso, se puede afirmar ya que, en lo que respecta al aspecto más importante de la protección de datos, el suministro de información crediticia, tanto de carácter positivo como negativo, encaja perfectamente en el concepto de interés legítimo del art. 6.f) del Reglamento, ya que se trata de un tratamiento de datos necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, que con las garantías adecuadas respeta los intereses o los derechos y libertades fundamentales del interesado”.

Un tratamiento general para todo tipo de datos es lo que brinda el RGPD, sin que se atienda a la naturaleza específica de los mismos, a diferencia del modelo anglosajón que establece un régimen ad hoc en función de los datos de que se trate. Lo que nos quedó claro en la jornada es que son muchos cambios que se avecinan y una tarea compleja de adaptación del Derecho nacional, que ya veremos qué consecuencias tiene en la práctica.

Desde la Fundación Hay Derecho agradecemos a los ponentes su participación en este acto, a los asistentes su presencia y al Colegio de Abogados de Madrid, la generosidad de cedernos su magnífica sede para celebrar el acto.