En 1890 Samuel Warren y Louis Brandeis, definieron al derecho a la privacidad, como “el derecho a ser dejado en paz” (The Right to Privacy, Harvard Law Review). Desde entonces, este derecho ha dado lugar a otras prerrogativas, como la protección de datos personales y la autodeterminación informativa; ambas, prerrogativas relativamente novedosas en nuestro país se han desarrollado apoyándose en otras garantías, como el acceso a la información y la libertad de expresión.
En México, los profesionales de estas materias han debido valerse de recursos todavía escasos, como los criterios y resoluciones de la autoridad garante —el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI)—, de algunas sentencias relevantes del Poder Judicial de la Federación, así como de la experiencia internacional en la materia, nos comenta el licenciado Mario Tavares Moyrón, Compliance Officer y Data Protection Officer en AXA Tech México.
En específico, la Unión Europea (UE) ha sido crisol de importantes luchas de esta índole que abrieron paso a una legislación en materia de protección de datos personales, la General Data Protection Regulation (GDPR), marco legal de aplicación general para los países europeos, aprobado en abril de 2016 y publicado en mayo de ese año por la Comisión Europea (CE).
Ante ello, ¿cómo es que surge esta normativa de avanzada y qué implicaciones tiene para las operaciones fuera de Europa? A continuación se buscará delinear el antecedente más importante de esta regulación, para después enunciar algunas sus aristas llamativas.
Europa vs. Facebook, Safe Harbor y GDPR
El actual texto de la GDPR tuvo como base una serie de discusiones al interior de la CE en enero de 2012; sin embargo, el acicate más significativo para su aprobación se remonta al año 2011, en ese entonces, Max Schrems, un estudiante de Derecho en Viena, comenzó una batalla legal contra Facebook por el uso indebido de sus datos ante la autoridad de datos personales en Irlanda1 (Data Protection Commissioner).
En 2013, el asunto se ventiló ante una Corte de Primera Instancia en Irlanda. Ese mismo año, Edward Snowden, ex colaborador de la National Security Agency (NSA) exhibió las irregularidades en la operación de Facebook y el tratamiento que esta empresa, junto a otros gigantes tecnológicos, proporcionaban a los datos personales de ciudadanos europeos que se transferían a las sedes de dichas corporaciones en los Estados Unidos de América (EUA). El filtrado masivo de información en suelo estadounidense evidenció el espionaje masivo a particulares conducido por diversas Law Enforcement Agencies del gobierno norteamericano.
El juicio originalmente incoado contra el referido gigante social, encontró nuevos cauces a la luz de la violación de derechos fundamentales garantizados dentro de la UE, bajo el marco legal aplicable a la transferencia de datos de ciudadanos europeos a EUA, las llamadas “Safe Harbor Rules”.
El Safe Harbor o “Puerto Seguro”, autorizaba que empresas en EUA recibieran datos de ciudadanos de la UE, pues se consideraba que las compañías garantizaban un nivel de seguridad adecuado y que respetaban la directiva de protección de datos. Por una parte, las citadas reglas permitían a los entes a llevar a cabo sus propios procesos de recertificación; al tiempo, se averiguó que sus lineamientos solo eran obligatorios para las entidades que los hubiesen adoptado, no así de observancia forzosa para las autoridades gubernamentales americanas. Tales disposiciones, además, podrían dejar de aplicarse ante casos de seguridad nacional. Las afectaciones impactaban todos los datos contenidos en la nube, incluso aquellos de índole financiera.
El Tribunal de Justicia de la Unión Europea (TJUE) señaló que era obligación de la CE vigilar que EUA contara con un marco legal que garantizara los derechos humanos de sus ciudadanos en materia de datos personales, mientras que en los hechos, se había limitado a examinar los lineamientos de las Safe Harbor.2
Como consecuencia de la sentencia del TJUE que invalidó las mencionadas reglas en materia de transferencia de datos, los Estados miembro de la UE aprobaron el 13 de abril de 2016 la Regulación General de Protección de Datos.
La GDPR reemplaza las diferentes ‘directivas’, pues conforme al régimen jurídico europeo, estas únicamente sentaban bases mínimas que cada país debía desarrollar en términos amplios dentro de su propio marco legal nacional, lo que en ocasiones permitía que los legisladores locales fueran muy permisivos o excedieran el nivel de exigencia de la norma.3
La nueva regulación es de aplicación obligatoria para todos los países miembro de la UE (y países fuera de la zona que procesen datos procedentes de esa región). No toda la normativa entró en vigor inmediatamente, algunos aspectos serán exigibles hasta inicios de 2018; sin embargo, existen obligaciones que tendrán repercusiones inmediatas para asegurar la protección de los derechos de los individuos en el entorno digital.
Accountability, Data Protection Officer y Privacy by Design
La GDPR hace énfasis en los procesos de “accountability”; es decir, procesos de “responsabilidad” sobre las operaciones, que incluyen mecanismos para corroborar el consentimiento del titular de datos respecto del procesamiento de su información. Esto requerirá detallar las medidas de seguridad en el tratamiento de datos; lo cual incluye evaluaciones de impacto de datos personales4, previo a cada procesamiento, uso y transferencia de la información del titular, así como el mantenimiento de documentación que asegure la integridad y retención idónea de la información.
El Data Protection Officer (DPO), es una figura toral en los procesos de accountability al interior de la empresa, tanto cuando ésta funja como Data Processor o Data Controller. El DPO debe ser el primer punto de contacto y es piedra angular dentro de las operaciones que involucren datos personales. Es verdad que el rol de este puede añadir obligaciones adicionales con base en la GDPR, dado el riesgo transferido, lo cual debe estudiarse a fondo en el futuro inmediato.
Un punto en el que la GDPR ha sido enfática, es en la denominada “Privacy by Design”, que es un modelo a través del cual se proporciona un enfoque proactivo al diseño de las políticas y mecanismos institucionales de protección a la privacidad de los datos, de esta manera los parámetros de seguridad se ajustan más al tipo de datos recolectados, que a un modelo estandarizado e inmutable dentro de las organizaciones.
Derechos Digitales y robustecimiento de libertades
Como resulta natural, en virtud del acelerado desarrollo de la tecnología y su interacción con las prerrogativas de las personas, nuevos derechos, garantías y ampliaciones de las libertades se abren paso dentro del catálogo de derechos fundamentales globalmente reconocidos en las legislaciones locales y en los tratados internacionales. La UE ha sido foro de acontecimientos de esta índole. Un caso concreto, es el “derecho al olvido digital”, también comprendido en la GDPR y que al igual que el tema de la transferencia internacional de datos, tiene origen en una disputa contra otra empresa de Silicon Valley.
El asunto parte del reclamo efectuado por un individuo hacia Google Spain por mantener en su motor de búsqueda datos caducos sobre una situación litigiosa a la que estuvo sujeto en el pasado, condición que afectaba su esfera personal en el presente. Dicho asunto llegó al TJUE, donde se consideró que el motor de búsqueda era responsable sobre el tratamiento de la información personal de los individuos.
La responsabilidad de Google Spain consistía en garantizar la protección eficaz para los interesados con sus derechos de respeto a la vida privada y la protección de datos personales. El TJUE indicó que los motores de búsqueda quedarían obligados a eliminar de sus listas de resultados el nombre de los solicitantes, ante la potencial afectación personal y el acceso de cualquiera a sus datos personales, incluso cuando la publicación en dichos sitios fuera en sí misma lícita, toda vez que la información ya no era vigente ni públicamente relevante. Para ello, solo era necesario que los individuos solicitaran la eliminación de aquellos resultados que vulneraran su derecho a la privacidad, bajo ciertas circunstancias.5
El otro derecho de nueva generación reconocido en la GDPR, es el de portabilidad de datos, con el cual se exige al controlador proporcionar al titular, sus datos personales en un formato comúnmente conocido y transferirlos a otro controlador si el titular así lo requiere.
Gran parte de la transformación jurídica que tiene como parte aguas la GDPR, sucede a través de la ampliación de criterios dentro de la definición de datos personales, dato sensible y de las diversas categorías de éstos que se contemplaban en el marco legal europeo, además del ensanchamiento del alcance de los derechos de los individuos y de la variedad de estos.
Ahora, los titulares de datos cuentan con cambios sustanciales dentro del ámbito de la presentación de quejas ante las autoridades competentes y de acceso a una tutela judicial efectiva cuando dichos órganos reguladores fallaran en proporcionar un remedio al titular, así como medios de defensa en contra del procesador o el controlador de datos.
En el tema de sanciones se debe ser especialmente precavidos al interior de las empresas, ya que la GDPR establece un procedimiento para imponer sanciones de hasta un cuatro porciento de la facturación anual de la empresa en todo el mundo. Algunos tipos de incumplimiento incluyen no atender las medidas mínimas requeridas en la transferencia de datos, no contar con los registros de cada procesamiento de datos que se haya realizado o no haber obtenido el consentimiento expreso de los titulares.
Privacy Shield
Esta establece una metodología para proteger los datos transferidos a EUA (y que sustituye integralmente a la Safe Harbor). Este no fue aprobado por el Article 29 Working Party6 de la CE sino hasta el 12 de julio de 2016, toda vez que desde su perspectiva, no protegía adecuadamente los derechos de los titulares de datos. Todavía hay cierta resistencia en el medio respecto de los alcances que el Privacy Shield tendrá en comparación con su predecesor.7
Algunos de los nuevos criterios establecidos en la GDPR, ya están de algún modo previstos por la normativa mexicana, como en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) que ya contempla la existencia de los derechos “ARCO”, es decir, garantías de Acceso, Rectificación, Cancelación y Oposición de datos personales. No obstante, si bien algunos de los mecanismos previstos por esta ley y su Reglamento (RLFPDPPP) ya están vigentes, no todos ellos son obligatorios (como los relativos a la transferencia internacional de datos) y hasta hace poco tiempo, las multas que el INAI era capaz de imponer por incumplimiento a su regulación, eran relativamente bajas y no disuadían a los agentes infractores.
La regulación de comunicaciones electrónicas en la UE ya es objeto de modificaciones a la luz de la GDPR; esta permitirá a los usuarios controlar mejor sus datos personales. Sin embargo, solo se aplica al tratamiento de datos personales, no cubre la comunicación de empresa a empresa ni la comunicación entre particulares que no incluya datos personales. La ‘Regulation on Privacy and Electronic Communications’ será una suerte de complemento de la GDPR y garantizará el derecho fundamental al respeto a la privacidad en lo que respecta a las comunicaciones, con miras especiales a las implicaciones de ‘metadatos’ (como es el caso de las Cookies).
Los nuevos temas contemplados por la GDPR son numerosos y muchos de ellos deben verse a la luz del cumplimiento normativo en México. Lo anterior, si se considera que un buen número de empresas europeas tienen establecimientos permanentes en nuestro país, aunado a que otras tantas reciben y procesan datos de ciudadanos europeos. Esto deberá traducirse en políticas y procedimientos internos más robustos que protejan los derechos de los titulares de datos y que permitan la continua adaptación a los cambios en el contexto de la sociedad de la información.
Notas
1 La Autoridad de Datos Personales en Irlanda resultaba competente en virtud de que Facebook en su división de Europa, contaba con establecimiento permanente en dicho país al contar éste con un marco normativo relativamente más flexible
2 La sentencia del Tribunal declaró la invalidez de esos lineamientos por los siguientes motivos principales: El Safe Harbor favorecía la supremacía incondicional y sin límites, de la seguridad nacional, el interés público o el cumplimiento de la ley nacional (EUA) sobre los derechos a la intimidad y la protección de datos, sin brindar a los ciudadanos europeos ningún medio de protección efectiva de sus derechos y; porque no otorgaba a los Estados miembro de la Unión Europea un margen lo suficientemente amplio para suspender transferencias de información en caso de que estimara una afectación de los derechos de sus ciudadanos. Para consultar el comunicado de prensa del Tribunal de Justicia Europeo, véase: http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117en.pdf
3 Recordemos que bajo la doctrina del ‘margen de apreciación nacional’ los estados parte de una convención pueden adoptar medidas específicas que de alguna manera ajusten la exigencia normativa a una circunstancia particular de su país por razones incluso culturales
4 Las evaluaciones de impacto de datos personales (o Data Privacy Impact Assessments, como generalmente se les conoce en el medio), son mecanismos de frecuente uso al interior de las empresas europeas y de sus filiales y subsidiarias fuera de la Unión Europea, por medio de los cuales se pretende hacer un diagnóstico previo al lanzamiento de proyectos de las diferentes áreas de la empresa, para el efecto de determinar si hay datos personales involucrados dentro de dicho proyecto o descartarlo y, por otra parte, si en el caso de que sí implique el procesamiento de datos, se está o no garantizando la protección de tales datos a través de medidas de seguridad suficientes
5 Las circunstancias bajo las cuales puede borrarse la información fueron detalladas en la resolución del TJUE, que resumidas cuentas exige que la información no tenga una relevancia pública y en efecto transgreda el derecho a la privacidad. Un impedimento, por ejemplo, sería que los datos tuvieran importancia pública, como en el caso de un funcionario de gobierno, pues limitar el acceso a estos resultados a la par afectaría otro derecho en favor de terceros: el acceso a la información pública. Más información sobre este nuevo derecho en: http://ec.europa.eu/justice/data-protection/files/factsheets/factsheet_data_protection_en.pdf. En México este tipo de solicitud ya existe bajo la etiqueta del derecho al olvido digital. El mismo INAI ha resuelto algunas resoluciones al respecto y, en su momento, se pronunció –aunque en forma equívoca- respecto a la resolución del TJUE. Véase: https://derechosdigitales.org/8368/mexico-fallo-de-ifai-olvido-o-censura-en-internet/
6 El Article 29 Working Party es el grupo de trabajo más importante en el desarrollo de GDPR y del derecho de protección del dato personal. A la fecha, este grupo se ha dado a la tarea de delimitar criterios conforme a la nueva regulación a través de lineamientos. Para más información, consúltese: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083
7Al respecto, véase la opinión de Max Schrems sobre el Privacy Shield: http://www.irishtimes.com/opinion/privacy-shield-the-new-eu-rules-on-transatlantic-data-sharing-will...