Togas.biz

La década de los 80 sirvió a los jueces españoles para buscar el justo equilibrio entre el respeto de los derechos fundamentales de los imputados en causas penales y la investigación de los presuntos delitos cometidos.

Los primeros pasos de la joven Constitución de 1978 sirvieron de ensayo para unos jueces que tuvieron que adecuarse de forma acelerada al nuevo marco constitucional con el temor a ser tachados de conservadores por la parte más progresista de la doctrina.

No es de extrañar que los primeros autos y sentencias no encontrasen el equilibrio buscado y decantasen excesivamente la balanza a favor del reo, situación a la que le dimos todos la bienvenida después de tantos años, aunque poco a poco nos diésemos cuenta de que no era sostenible en el tiempo.

Algo parecido está pasando con la protección de datos.

La década de los años 20 del siglo XXI debe servir a las autoridades de control europeas para encontrar el justo equilibrio entre los derechos del interesado y los derechos del responsable del tratamiento.

El RGPD, igual que la Constitución española en los 80, todavía está empezando a andar y de estos primeros pasos depende que la protección de datos se convierta en un elemento más del mapa de obligaciones a cumplir o en un obstáculo para la actividad empresarial.

Un punto del RGPD en el que debemos encontrar con urgencia el justo equilibrio reside en la cantidad y la calidad de la información sobre el tratamiento que debe suministrarse al interesado.

El artículo 12 del RGPD exige que la información se facilite de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Pero las dos últimas resoluciones de la AEPD que sancionan al BBVA y a CaixaBank, ponen el listón del detalle de la información en una posición que nos aleja de la concisión, la inteligibilidad, la accesibilidad, la claridad y la sencillez.

Porque podemos hablar con un lenguaje claro y cercano: “Registraremos la forma en que utilizas nuestro servicios para conocerte mejor, personalizarlos y adaptarlos a tus preferencias” o con un lenguaje más técnico y menos accesible: “Registraremos en nuestro CRM los parámetros generados en el uso de los productos de financiación y de inversión con el fin de determinar tu solvencia económica, el nivel de aversión al riesgo, scoring, rentabilidad, fidelidad y mora, con el fin de asegurar un nivel alto de coincidencia entre estos datos y los productos de financiación y de inversión que te podamos ofrecer”.

La cantidad y la calidad de la información a suministrar van asociadas a un concepto que acuñé hace años, al que llamo el principio de obviedad. Este principio defiende la idea de que no es necesario informar de los detalles del tratamiento que resultan obvios para el interesado.

Por ejemplo, si un proveedor me envía regularmente un mensaje de correo electrónico con su factura no espero ver un texto informativo al final del mensaje diciendo que tiene mi dirección de correo electrónico y que la está utilizando para enviarme un mensaje que escribirá en un ordenador portátil, introduciendo mi dirección en una aplicación de correo electrónico, haciendo posteriormente clic en un botón que ordenará a la aplicación el tratamiento de la dirección de correo electrónico para enviar el mensaje. Es además innecesario indicar que el mensaje se fragmentará en diversos paquetes IP, y que como fruto de esta conversión, que también es un tratamiento, cada paquete sabrá dónde tiene que ir, y pasará por múltiples servidores y rúters hasta llegar a mi proveedor de Internet, que recopilará los paquetes IP, recompondrá el mensaje y lo dejará en mi buzón de entrada.

Tampoco le informo de que es posible que imprima la factura en la que aparecen sus datos personales.

No se suministra esta información porque es obvio que todo esto va a pasar y el interesado ya lo sabe, lo intuye o no le interesa tener ese nivel de detalle.

Lo más cercano al principio de obviedad, aunque no coincida plenamente, lo encontramos en los artículos 13 y 14 del RGPD, que exoneran al responsable del tratamiento de todas sus obligaciones de información cuando el interesado ya disponga de la información.

El artículo 13.4 indica concretamente que las disposiciones de los apartados 1, 2 y 3 (el resto del artículo) no serán aplicables cuando y en la medida en que el interesado ya disponga de la información.

El artículo 4.2 del RGPD define el concepto tratamiento como cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

¿Cuántos contratos, políticas de privacidad, condiciones generales de contratación y textos informativos informan con carácter exhaustivo de todos los tratamientos que tendrán lugar durante el ciclo de vida de un dato?

¿En alguno de estos textos se informa, por ejemplo, del proceso de imprimir?

¿Por qué razón? ¿Porque tenemos que ser concisos, por un olvido o porque es obvio que alguna vez imprimiremos?

Lo mismo sucede al informar de los datos a tratar. Si un interesado cumplimenta un formulario con 25 campos, ¿es necesario informarle dos veces de que disponemos de esos datos? Vamos a informarle de la finalidad y de la necesidad de tratar esos datos pero no vamos a repetir con todo detalle que tenemos los datos que el interesado acaba de introducir en el formulario porque es obvio, el interesado ya dispone de esta información y sería un insulto para su inteligencia.

Aunque por cuestiones de cultura de prevención de riesgos podría ser posible en EEUU, en Europa no podemos imaginar un ascensor en el que cada botón numérico tenga al lado una leyenda sobre su función: “Pulse este botón con el número 1 si desea ir a la planta 1. Pulse este botón con el número 2 si desea ir a la planta número 2”. ¿Quién no sentiría que están tratándolo de inútil en un ascensor como éste?

La obviedad, como el interés legítimo, responde a criterios subjetivos, evidentemente. Lo que es obvio para uno no lo es para otro. Pero hay detalles del tratamiento que forman parte de la cultura y de los usos de cada sector, del umbral de percepción creado justamente por la protección de datos por defecto. Y se pueden acreditar.

Debe llegar el momento en que se alcance un justo equilibrio entre la información que el interesado debe recibir y el detalle que el responsable del tratamiento debe suministrar de forma concisa y clara. Y las autoridades de control tienen un importante papel en normalizar este proceso para que no sea un obstáculo para la actividad empresarial.

Al mismo tiempo, el nivel de madurez y de experiencia se incrementará en el responsable del tratamiento y en el interesado, de manera que el proceso de información se irá adaptando y haciéndose natural. Tan natural como la información que nos suministra el bar que conoce perfectamente nuestras rutinas y preferencias: “¿El café como siempre?”.

Fuente: Ribas & Asociados

Source