"El equilibrio seguridad / Libertad puede lograrse, y para ello deben comprometerse: ciudadanos, poderes públicos o cualquier sujeto o ente que tenga posibilidades de actuar".



El tema de la protección de datos afecta de un modo importante a la sociedad, con temas como el derecho a la privacidad. El trepidante ritmo de la revolución tecnológica hace cada vez más urgente salvaguardar los derechos fundamentales de todos. Para ello, el pasado 21 de diciembre se aprobó el reglamento de desarrollo de la Ley Orgánica de Protección de datos, que pretende una mayor claridad en la aplicación de la norma y adaptar sus previsiones a la realidad existente en la actualidad. Tema de máxima actualidad del que vamos a hablar hoy, con la una de las figuras más representativas y que más tiene que decir en todo este proceso. Estamos hoy en la Agencia española de Protección de datos, y hablamos con su director, Artemi Rallo.

Don Artemi Rallo, buenos días:

Buenos días

1.- El desarrollo de las nuevas tecnologías ha puesto en jaque los criterios tradicionales de garantía de la privacidad, poniendo a disposición casi de cualquiera herramientas para la captación y uso de información relativa a terceras personas. En líneas generales ¿Cuál es su enfoque al respecto?

Estamos viviendo un momento apasionante desde todos los puntos de vista. La sociedad ha conocido y está conociendo la enorme potencialidad que le ofrecen las nuevas tecnologías, particularmente una de ellas, una de sus manifestaciones, Internet, una columna vertebral de lo que hoy conocemos como la Sociedad de la Información. La información y las posibilidades de obtener el máximo rendimiento a la información allí existente, constituye un reto y una oportunidad extraordinaria, pero también un riesgo, un foco de riesgos múltiples, fundamentalmente para la privacidad. Y es ahí donde también la sociedad tiene un reto singular: el de lograr aprovechar al máximo esas oportunidades que le ofrecen las nuevas tecnologías pero al mismo tiempo seguir preservando, garantizando, haciendo reales las garantías que rodean lo que conocemos como la cultura de los derechos, de las libertades, de los derecho fundamentales que durante dos siglos la sociedad actual ha consolidado y ha hecho de ellos su referente fundamental.

2.- El fenómeno de Youtube ha puesto de manifiesto algunos casos de tratamiento de imágenes que suponen una clara infracción de la Ley de Protección de Datos. ¿Qué grado de responsabilidad le correspondería a Youtube, dado que se presenta como mera plataforma o mero intermediario entre el proveedor de contenidos y su audiencia?

Una plataforma prestadora de servicios, como puede ser Youtube, de recepción de imágenes, de vídeos captados por particulares, en principio, de acuerdo con la legislación española, no tiene una responsabilidad directa por la emisión de esa información, de esas imágenes. No la tiene, salvo que se le haya advertido por parte de una autoridad que determinados contenidos vulneran la legislación. En caso de que no atienda ese requerimiento obviamente sí que asume una responsabilidad que es la que en cada caso le pueda corresponder. Es difícil afrontar el reto de limitar los contenidos que, en Internet y en particular en determinadas plataformas, como pueda ser Youtube, en ocasiones nos desagradan e incluso vulneran los estándares básicos, mínimos de aceptación por parte de la sociedad, porque constituyen casos ilícitos o porque transgreden frontalmente derechos y libertades, singularmente el de protección de datos. Eso es difícil, porque la herramienta tecnológica en ocasiones plantea dificultades, y porque, sin duda alguna, sufriría un riesgo cualquier intervención de ser calificada como censura. Pero lo que sí que es importantísimo es que Youtube, y cualquier autoridad, reaccione cuando determinados contenidos sean o resulten inadmisibles y desde luego hay que invitar a plataformas como y a que, de forma insistente, profundicen en la búsqueda de alternativas -de soluciones- para filtrar, cribar, contenidos que la sociedad no admite porque vulneran las reglas básicas de convivencia.

3.- La Agencia Española de Protección de Datos ha requerido información a tres de los principales motores de búsqueda en Internet, Google, Yahoo y Microsoft, para analizar sus políticas de retención y tratamiento de datos personales. ¿Cual es la incidencia que estas prácticas de los motores de búsqueda de Internet pueden tener para la privacidad de los usuarios?

Los motores de búsqueda de Internet tienen unas determinadas políticas de privacidad, de garantía de la privacidad de los usuarios, que plantean al conjunto de autoridades de protección de datos serias dudas. Fundamentalmente, porque casi nadie las conoce, existe un desconocimiento tremendo, entre los usuarios, de esas cláusulas de privacidad, de esas reglas. Y no sólo porque los usuarios no pretendan utilizarla sino porque además resultan de bastante difícil acceso y comprensión. Los motores de búsqueda tienen que hacer un esfuerzo extraordinario por informar a los ciudadanos, cuanto menos, de los riesgos que supone acceder a Internet a través de los motores de búsqueda, sabiendo que las empresas que gestionan los motores de búsqueda retienen información personal, retienen las búsquedas que realizan los usuarios, en un periodo no menor de 13 meses y que alcanza los 18 meses en el caso del motor de búsqueda más extendido, hegemónico casi, que es Google. Esa información los ciudadanos deben conocerla, deben saberla, y para lograr ese fin es necesario que se mejoren los sistemas de información para los ciudadanos.


4.- Actualmente, los sistemas de videovigilancia, incluso de televigilancia a distancia, permiten ver tanto los propios hogares como las empresas privadas desde cualquier parte del mundo. Se ha acuñado el término “gran hermano ciudadano” para referirse al fenómeno ¿En qué medida el incremento de la videovigilancia en el sector privado, puede implicar un riesgo para el derecho a la autodeterminación informativa?

Estamos en una sociedad cada vez más vigilada, la norma se ha convertido en excepción y al revés, la excepción se ha convertido en norma. Hasta no hace mucho, la legislación que preveía que las fuerzas y cuerpos de seguridad instalasen cámaras, ya antigua, ha posibilitado un ejercicio por parte de las autoridades públicas, razonable y limitado; pero lo que debería haber sido la excepción: las empresas, las entidades privadas, las comunidades de vecinos, que cualquiera de nosotros pudiese instalar una cámara a fines de seguridad, de seguridad pública, se ha convertido la regla general, y está produciendo unos efectos bastante notables en el seno de la sociedad, que se traducen en preocupación para los ciudadanos. La extensión de la vídeo-vigilancia ha adquirido unas dimensiones notables que la agencia detecta con indicadores tan claros como los siguientes: hasta el año 2006, la agencia no tenia declaradas mas allá de 700 cámaras por parte de entidades; en este momento, solo en año y pocos meses, se ha multiplicado y alcanzan el número de 7.800 entidades las que tienen cámaras declaradas en la agencia que no sólo captan imagen, sino que graban imagen. Y este es sólo un indicador de la omnipresencia de esos sistemas de vídeo-vigilancia; por ello es fundamental apelar al cumplimiento escrupuloso de las garantías que deben cumplirse en el establecimiento de esas cámaras, para paliar los efectos que generan obviamente en la privacidad de las personas. Y fundamentalmente esas garantías pasan porque las cámaras se instalen cuando, pero sólo cuando, sean necesarias para lograr ese objetivo de seguridad e informar a los usuarios de que se les esta captando su imagen allí donde se instalan las cámaras. Esas son dos garantías básicas que deben ir acompañadas por otras, pero que deben cumplirse escrupulosamente.
5.- Respecto de la tradicional tensión “Seguridad/Libertad”, y en particular en el ámbito de las Nuevas Tecnologías, ¿ Cabría llegar a preguntarse si el desarrollo tecnológico implicará finalmente el desarrollo de nuevos derechos o la restricción o limitación de los derechos de las personas?

La sociedad tiene que hacer un esfuerzo importante por lograr el equilibrio entre la seguridad y la libertad, entre la legítima aspiración de los ciudadanos de vivir en una sociedad segura, sabiendo que son muchos los motivos que les perturban y les plantean serias dudas; y al mismo tiempo un equilibrio de ese objetivo con el objetivo irrenunciable de las sociedades contemporáneas, desde ya hace mas de dos siglos, de vivir en una sociedad de derechos, en una sociedad de derechos y de libertades. Ese equilibrio puede lograrse y ese es el objetivo al que debemos comprometernos todos: ciudadanos, poderes públicos, cualquier sujeto o ente que tenga posibilidades de actuar.

6.-¿Podría exponer algunos de los aspectos más relevantes contenidos en el nuevo reglamento de desarrollo de la Ley Orgánica de Protección de datos?

El nuevo reglamento de desarrollo de la Ley Orgánica de Protección de Datos tiene una incidencia general en la aplicación de la normativa de protección de datos, pero obviamente hay novedades, algunas de ellas singularmente relevantes, que pueden y deben, merecen ser resaltadas. En primer lugar, la general aplicación de las medidas de seguridad ya previstas para los ficheros automatizados a los ficheros no automatizados, es decir, a los ficheros de carácter manual; o con carácter general, nuevas reglas para la obtención del consentimiento de menores que se obtenga información personal directamente de menores de 14 años, y estableciendo garantías adicionales cuando esos menores tengan más de 14 años. El nuevo reglamento aporta novedades en relación con los ficheros de solvencia patrimonial y crediticia, imposibilitando mantener en los mismos a los deudores llamados de ‘saldo cero’, que ya hayan saldado su deuda. Incluye novedades para las empresas, facilitando los fenómenos de subcontratación y prestación de servicios, facilitando un marco seguro y claro para la realización de las transferencias internacionales de datos, que para las empresas también son importantes. Estas son algunas de las novedades singulares.

7.- ¿Cuál es el tratamiento de los datos incluidos en soporte papel en el nuevo reglamento? Y ¿Qué implicaciones prácticas puede tener para el sector de profesionales y asesores de empresa, como abogados, gestores administrativos, graduados sociales, etc?

El nuevo reglamento se aplica con carácter general a todo tipo de ficheros, y además diseña un sistema de medidas de seguridad dirigido a los ficheros de carácter manual, no automatizado. Un sistema de medidas de seguridad que responde al esquema de tres niveles: básico, medio y alto, y que fundamentalmente pretende preservar que se garantice la seguridad de la información personal, y al mismo tiempo que no se produzcan accesos a esa información personal. Son unas reglas que obviamente tienen trascendencia, importancia, y que se van a proyectar de forma singular, especialmente a un sector profesional y económico que es el de las pequeñas y las medianas empresas que tienen todavía un camino por recorrer para adaptarse a la normativa de protección de datos. A partir de ahora, tienen un marco normativo claro, que les va a permitir adecuarse a la normativa de protección de datos, sin innecesarias complicaciones y complejidades, y a costes razonables para el objetivo que se pretende alcanzar.

8.- ¿Existen nuevas formalidades exigibles en relación con la acreditación del deber de información y la obtención del consentimiento? En su caso, ¿Qué deberían cambiar las empresas a este respecto?

El nuevo reglamento, impone y busca, mejorar los sistemas de información cuando se pretende captar el consentimiento de algún ciudadano para captar su información. Mejorar su información, y acreditar que se ha cumplido y que se están cumpliendo las medidas que establece la normativa para que el consentimiento se obtenga de manera respetuosa. Son reglas dirigidas a las entidades y empresas que pretenden conseguir esa información. De forma también muy particular, hay reglas especiales que se van a dirigir a determinados sectores como son los menores. A los menores de 14 años no se va a poder obtener de ellos directamente información personal, datos, sólo con la autorización paterna. En cualquier caso, deberá ser objeto de comprobación en su autenticidad, pero incluso cuando se quiera obtener de los menores de 18 años pero mayores de 14, datos personales, información personal, deberán cumplirse algunas garantías adicionales como la de proporcionarles una información suficiente, clara... y al mismo tiempo, las entidades que pretendan tener esa información, deberán adoptar las medidas dirigidas a verificar la edad del menor, para poder cumplir con este mandato reglamentario.

9.- Respecto de la institución del “encargado del tratamiento” del artículo 12 de la Ley, y en relación con el desarrollo reglamentario, que parece diseñar un “estatuto del encargado del tratamiento” quería plantearle una pregunta que ha suscitado históricamente la práctica del sector, esto es; el supuesto de que las empresas encarguen a una compañía y esta a su vez a otra, especializada en la materia, la gestión de los datos de su organización ¿Es posible subcontratar la prestación de servicios? Y en tal caso ¿Cuáles serían los requisitos y las garantías exigibles en la subcontratación de servicios?

Por supuesto que sí, ya la Ley Orgánica de Protección de datos lo establece y así la Agencia lo está aplicando. Es cierto, que el reglamento desarrolla de una manera más completa, las garantías que deben cumplirse en los supuestos en los que una empresa subcontrate en otra la prestación de un servicio, y para ello tenga que facilitar información personal de clientes o de cualquier otro usuario. Esas reglas pasan por la formalización, con un contrato escrito y al tiempo, por el establecimiento negro sobre blanco de forma expresa de asumir ciertas obligaciones, como la de que quien es subcontratado, no puede utilizar esa información personal para fin distinto, ni cederla a terceros, y sólo usarla de acuerdo con las instrucciones que le haya impuesto y ordenado la empresa que la ha subcontratado, es decir, la responsable de ese tratamiento de datos.

10.- El texto fortalece los llamados derechos ARCO (acceso, rectificación, consentimiento y oposición), y en concreto se regula el derecho de oposición,¿Como quedan configurados estos derechos de las personas en el desarrollo reglamentario?

Los derechos de protección de datos de acceso, rectificación, cancelación y oposición, en el nuevo reglamento son objeto de algunas innovaciones que pasan fundamentalmente por facilitar a los usuarios el ejercicio de esos derechos. Que los ciudadanos puedan hacer real el uso de unos derechos que hacen real el derecho a la protección de datos de carácter personal. Ese es el objetivo, y a tal fin, hay una regla que expresamente está establecida y generalizada, que consiste en preservar el carácter gratuito del ejercicio de cualquiera de esos derechos. Y a tal objetivo deben adecuarse las entidades que tienen que facilitar esos derechos.



11.- Uno de los sectores en los que su aplicación tiene una importancia capital es el del Marketing: aspectos como el marketing directo, relación con clientes...¿Existe alguna novedad destacable para este sector?

En el sector del marketing, hay diversas novedades que van dirigidas en términos generales a facilitar que las entidades que ejercen esta actividad, puedan hacerlo de forma ágil y facilitando el ejercicio de la actividad. Sin duda alguna, la novedad más relevante pasa por la implantación de los llamados ficheros de autoexclusión. Es decir, el establecimiento de mecanismos que faciliten que los ciudadanos puedan incluirse en registros, para que no les envíen si así lo desean expresamente, información comercial que ellos no requieren

12.- Por último, conviene recordar que consideración tiene internet en relación con el concepto jurídico de "fuente accesible al publico". Existe alguna novedad en este aspecto concreto y en relación con el alcance del concepto de fuente accesible al público?

En relación con lo que la Ley Orgánica denomina “ fuente accesible al público ” no hay novedades relevantes a destacar. Obviamente hay una adecuación de las previsiones de la Ley y a los tiempos actuales. Y allí donde la ley hablaba de los listines o registros telefónicos como fuente accesible al público, en este momento se hace referencia y se extiende a registros electrónicos de la misma naturaleza. Por tanto, novedad material, no la hay en la definición de ese concepto , y desde luego nada dice el reglamento y la conclusión no puede ser otra, por tanto que seguir considerando y calificando a Internet, como un espacio sometido a la normativa de protección de datos. Por tanto, no es fuente accesible al público y la información que circula por la red, información personal, se somete a la regla, principios y garantía de la Normativa de Protección de datos. No se puede usar de forma indiscriminada y libre esa información personal a cualquier fin.

Don Artemi Rallo, le damos las gracias por habernos dedicado este tiempo, y por exponer este tema, que es sin duda uno de los más candentes del panorama actual.

Muchas gracias.