Per Pol Rubio.
Víctor Roselló, cofundador d’Esfera Legal i advocat amb certificació de la International Association of Privacy Professionals, ha tingut el detall de concedir una entrevista a El Jurista, emmarcada en l’auge de la necessitat de protecció de dades en un sistema que no oblida i que les fa visibles: Internet.
Amb una mica de retràs per les complicacions amb les línies de ferrocarrils d’un servidor, va començar la reunió.
Pots explicar a grans trets quina és la situació actual del reglament de la UE previst sobre la protecció de dades?
Doncs hi havia un esborrany de la Comissió Europea de 25 de gener de 2012 que prometia molt, però sembla ser que els interessos econòmics de gran lobbies d’empreses tecnològiques, especialment estrangeres, el limitaran de forma notable. La legislatura al Parlament Europeu acaba al maig i encara s’ha de votar, tenint en compte que hi ha presentades més de 4.000 esmenes, però s’espera poc
D’on venen i per què aquestes pressions?
Principalment de companyies com Facebook i Google, a les quals el reglament pretén que, com presten serveis a Europa, se’ls hi apliqui la llei comunitària tot i tenir la seva seu als EUA (fins ara no era així). I perquè s’han realitzat informes, com el de la Information Commissioner’s Office del Regne Unit que estimen que els canvis a realitzar per adaptar-se costarien molts milions d’euros pel conjunt de les empreses afectades.
En què consisteix la novetat al respecte de les comunicacions d’incidències?
Fins ara el responsable del fitxer tenia l’obligació de registre intern de les incidències, i només les empreses de telecomunicacions, per la seva rellevància en el mercat, havien de notificar-les a l’Agència Espanyola de Protecció de Dades (AEPD). La proposta passa perquè tot tipus de responsables, independentment del servei que ofereixen, hagin de notificar les incidències que afectin o posin en risc dades personals a l’AEPD i, fins i tot, en determinats supòsits hagin de fer-ho també als afectats.
Una acció en la línia de la transparència, m’agrada. Però aquesta sembla que tirarà endavant o es quedarà fora del resultat final?
Afortunadament sembla que sí. Les tres versions presentades per la Comissió, el Parlament, i el Consell Europeu no posen en dubte aquest nou deure. El debat real, més aviat, vessa sobre el termini per notificar, entre 24 i 72 hores, i en quins casos cal notificar als afectats i quins no.
Parlem ara de les certificacions pels professionals que ofereixen servei de protecció de dades, ja que vivim en un moment on cada cop és més necessària i demandada l’especialització.
Sense dubte. Estic molt a favor. Tot advocat que es dedica a un sector tan concret hauria de tenir quelcom per acreditar el seu coneixement sobre el tema, i no deixa de ser una garantia de qualitat. Així s’acabaria amb la pràctica poc rigorosa d’empreses no especialitzades i multiusos, que avui et fan la gestió en base a la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades (LOPD), i demà s’encarreguen de blanqueig de capitals. I, a títol personal, crec que haurien de ser a nivell europeu, ja que la visió no es pot limitar al panorama nacional en un context global.
Sobre un litigi internacional em toca ara preguntar-te l’opinió: les Conclusions de l’Advocat General de la Unió Europea Nilo Jääskinen en l’assumpte C-131/12, Google vs. l’AEPD, de 25 de juny de 2013.
El del famós dret a l’oblit, interessant. La postura de l’Advocat General em sembla totalment coherent i sensata amb la regulació que hi ha avui en dia, a l’espera que s’aprovi el nou reglament i satisfaci les pretensions socials “llei en mà”. De fet jo tinc una anècdota al respecte del tema. Per mi però, el més rellevant d’aquestes conclusions ha estat que hagin reconegut que Google s’ha de sotmetre a la llei europea.
Doncs ja tardes en explicar l’anècdota (riures).
Resulta que vaig denunciar a una empresa per un tema de protecció de dades i l’AEPD va publicar-la sense notificar-m’ho amb un error sensible: el meu nom sortia en el quadre de denunciat i no en el de denunciant. Tot aquesta informació via BOE, va se indexada, com no, per Google. Vaig posar-me en contacte amb l’AEPD en assabentar-me, i posteriorment van publicar una rectificació, però el mal que em va fer és incalculable.
I més tenint en compte que ets un professional que es dedica a això.
Sobretot i precisament per això. Però bé, mai he fet mala sang de l’assumpte.
A vegades és el millor. Canviant de tema i anant als documents ARCO, s’utilitzen?
No (rotund). Tots ens queixem al bar, però quan sabem que hem de fer tants tràmits, a la majoria se’ls passa.
Bé, has confirmat el tòpic de que pequem de mandrosos (riures). Hi ha alguna acció més senzilla que exercir el dret d’oposició al tractament amb fins publicitaris per l’habitual cas de SPAM via mail?
Apuntar-se a les llistes Robinson, un servei d’exclusió publicitària gestionat per l’Associació Espanyola de l’Economia Digital i el qual les empreses estan obligades a consultar abans d’iniciar campanyes publicitàries. Actualment hi ha registrades més de 200.000 persones.
La meva percepció es de desconeixement generalitzat al respecte dels documents ARCO. Perquè no m’imagino molts dependents de botigues de roba que tinguin clar que són i que els hi poden sol·licitar aquests documents. La corrobores també?
Correcte, tant consumidors com empreses tenen poca idea. De fet, en el cas de les empreses petites es sumen les poques ganes de conèixer. Una de les respostes que més em donen és: “jo només tinc els noms i la LOPD no se m’aplica”. I al final, l’única manera d’entrar a regular aquest tema és quan palpen el risc, per exemple quan sancionen a la botiga del costat. La majoria opten per mostrar-se passives sobre el tema (“si m’enganxen ja m’enganxaran”) perquè, tot i ser conscients que amb tan sols una sanció poden veure’s obligades a tancar, no acostuma a haver reclamacions de particulars, amb la corresponent denúncia i tota la pesca. Una lleugera però important millora passaria per la previsió del nou reglament de proporcionalitat de les sancions, a partir dels beneficis bruts d’aquell any. Perquè, en definitiva, les empreses més penalitzades són les de telecomunicacions i financeres, i per aquestes fer-se càrrec de 300.000 euros en poques ocasions els hi suposa un problema. I a qui les sancions enfonsen són a les PIMES que tenen quatre correus per enviar publicitat de les rebaixes un cop l’any.
Algun consell a les empreses per evitar que arribin a aquest punt?
Senzillament que tinguin els models disponibles al web i els responsables tinguin clar els procediments i terminis. I que siguin conscients que, si tenen dades que permeten identificar persones, han de gestionar-les seguint la LOPD.
L’últim tema que volia que toquéssim és el de les cookies. Si les introdueixes breument crec que ens fas un favor a molts (riures).
Cap problema. Les cookies són petits arxius que insereixen en el nostre equip les webs on entrem o terceres que hi tenen publicitat en aquestes i que principalment recorden els hàbits de navegació. Per això, per exemple, podem recuperar una cistella de compra encara que hàgim tancat la pàgina. Òbviament, registren moltes dades que xoquen amb el concepte de privacitat, i fins no fa molt es donava per tàcit el seu coneixement. Però amb la Directiva 2009/136/CE es va establir que havia de ser previ i informat, exceptuant les cookies tècniques imprescindibles pel funcionament del servei ofert a l’usuari. Després d’uns anys d’incertesa, l’abril del present any l’AEPD va elaborar una guia sobre les cookies per aclarir com s’ha d’informar; en un enllaç diferent al de la política de privacitat i de forma visible, accessible i adequada al públic de la web; i com s’ha d’obtenir el consentiment; admetent si es clica en l’avís, o si es baixa la barra lateral o es clica un altre contingut del web amb l’avís observat.
I per això ara apareixen tants avisos en les pàgines que acostumen a consultar. Tot quadra (riures). Alguna reflexió final?
Sí, que defenso firmament la necessitat d’uniformització normativa europea (i algun dia internacional) perquè a Espanya es sancionen accions que als EUA o Regne Unit no, i això genera inseguretat jurídica i desconfiança de les empreses cap al sistema i els seus professionals.