Plenario IV - Nueva Normativa Europea. Estado Actual Peter Hustinx, Holanda. Se informa que en relación con la nueva normativa europea se está en medio de un proceso de negociaciones, la que estará firme en 2014. Para enmarcar la discusión plantea las razones por las cuales se realiza una revisión de la normativa; además, se establece que existen 27 estados miembros y las traducciones de las directivas producen diferencias por lo que se debe reducir la diversidad y buscar una regulación comprehensiva para la tutela de derechos. La nueva directiva propone continuidad y cambios. Continuidad de todos los conceptos y principios básicos, e innovación como la privacy by design. La innovación permite la aplicación práctica de los principios. La idea es adoptar una directiva que aplique en los 27 estados miembros. Hay mucho énfasis en la responsabilidad de las organizaciones, una fuerte supervisión por parte de autoridades independientes y acuerdos de cooperación ya que no se necesita estar establecido en Europa para que puedan aplicarse estas reglas. José Luis Rodríguez, España. El panelista valora muy positivamente la propuesta global de la nueva regulación. Afirma que refuerza los derechos de las personas, destacando varios aspectos:
Adaptación de los derechos a la actividad on line, para ejercer un verdadero control de los datos. Definición más precisa de consentimiento con más flexibilidad, determinándose que se busca finalizar las diversas interpretaciones de la expresión inequívoco, sustituyéndola por explícito, lo que puede ser a través de una declaración o una clara acción afirmativa. Excluye el silencio y la inacción como formas de consentimiento. Reconoce el derecho a la portabilidad de datos, reafirmando que los datos personales pertenecen a su titular, lo que le permite llevarse los datos cuando finalice la relación de tratamiento. Reafirma el derecho de oposición invirtiendo la carga de la prueba, de tal forma que es el responsable el que debe probar que su interés legítimo prevalece por sobre los derechos fundamentales del afectado. Derecho al olvido, permitiendo ejercer el derecho real al control de los datos. El derecho al olvido se consagra como una reformulación de los derechos de cancelación y oposición, adaptados al entorno on line. No es incompatible de manera alguna con la libertad de información ni de investigación. No es un derecho que haga reescribir la historia, no es un derecho absoluto por lo que si colide con otros derechos se debe realizar una ponderación. Se señala que la Agencia española tiene una vasta experiencia en el campo de la ponderación. Un aspecto positivo de la regulación es que se trata de un reglamento, que es vinculante y por eso directamente aplicable sin que intervengan legisladores, lo que sí sucede con las Directivas. Esto soluciona la fragmentación normativa que se da en Europa. En el artículo 3º se establece que el reglamento aplica a los tratamientos de datos de residentes en Europa que se realicen fuera de la Unión, cuando la finalidad sea ofrecer bienes y servicios o monitorear la conducta on line.
El reglamento busca que la aplicación de las diversas legislaciones sea armónica, estableciendo un modelo único de Autoridad de protección de datos con iguales competencias y poderes. Se configura un mecanismo de coherencia para buscar respuestas coordinadas. Un objeto crítico es el modelo de ventanilla única (one stop shop) para compañías con sede en varios estados de la Unión. Por eso una única autoridad es competente para resolver, la autoridad del estado donde se encuentre la ventanilla, reduciendo costos administrativos y diferentes interpretaciones. La duda que plantea el panelista refiere a que en varios casos los derechos de los ciudadanos no serían regulados por la autoridad de residencia, lo que suscita problemas prácticos como el lenguaje y el procedimiento de recurrencia. Otro elemento crítico es que la regulación otorga demasiadas excepciones al sector público. Isabelle Falque-Pierrotin, Francia. La panelista indica que sus comentarios en relación con los puntos positivos y negativos de la regulación se efectúan en vínculo directo con la experiencia práctica de la Comisión Nacional de Informática y Libertades. Uno de los elementos positivos de la regulación es que reconoce nuevos derechos a los individuos, entre ellos, el derecho al olvido y el derecho a la portabilidad. Asimismo, demanda nuevas obligaciones al responsable de tratamiento como más transparencia, consentimiento. En Francia hay planteos similares, miles que conciernen el derecho al olvido. Se trata de personas que demandan de una manera u otra controlar su rastreo en línea. En temas tales como la geolocalización la mayoría de los internautas no entienden realmente cómo funciona. Por eso hay iniciativas para dar más transparencia y solicitar consentimiento en varios países, particularmente en Francia. Otra arista positiva es que somete a las empresas internacionales al
derecho europeo, incluso si no tienen sede en Europa, esto es indudablemente un avance. El tercer elemento positivo es que responsabiliza a las empresas por la aplicación de los principios de la protección de datos en sus procesos diarios, lo que implica responsabilizar a los actores por la rendición de cuentas de lo realizado con los datos. El último aspecto positivo que la panelista destaca refiere a la, promoción de las binding corporate rules (BCR) en las transferencias internacionales, porque dan una marco jurídico preciso y previsible a las empresas. Dentro de los elementos negativos se ubica la rendición de cuentas, si bien antes se expresó como positiva, puede conducir a una suerte de check list. La rendición de cuentas es una ayuda a los principios, pero no los puede sustituir. No es factible pedir lo mismo a una gran empresa internacional que a una pequeña empresa. El segundo elemento negativo es que limita las regulaciones nacionales, la forma en que los requerimientos de la regulación serán trasladados. En lo relacionado con las libertades informáticas está marcada por las especificaciones nacionales, por las sensibilidades políticas. Las sociedades no están organizadas de la misma manera y la normativa está centrada en beneficio de un número limitado de autoridades. Esta aproximación es muy centralizada, muy rígida. Sin embargo, pone como ejemplo la cooperación entre autoridades en el caso de Google, indicando que ha funcionado perfectamente y fue muy fructuosa. Para concluir señala que si bien en Europa éste es un momento histórico, se debe tener la audacia de reafirmar ciertos principios y tomar en cuenta al resto del mundo.
Richard Allan, Reino Unido. Así como la panelista anterior hacía sus comentarios desde la experiencia del regulador, el Sr. Allan lo hace desde la perspectiva de una empresa global de Internet. En este sentido se afirma que ésta desarrolla modelos de regulación y no solo en el campo de los datos personales. Gracias a Internet las empresas pueden liberar productos en ciclos rápidos y globalmente. Si el producto no debe ser global hay que incluir mecanismos de limitación, lo cual es un cambio con el sistema tradicional donde los productos debían ser exportados deliberadamente. En Internet los productos son exportados por defecto. La regulación cambia porque el contexto cambia, una regulación exitosa provee servicios de privacidad amigables al mismo tiempo que no limita el acceso a servicios que los ciudadanos eligen usar. Esos desafíos que se plantean son iguales en distintas partes del mundo. Por eso, el panelista opina que lo más positivo de la nueva regulación es la ventanilla única. Facebook se estableció en Dublín en 2009 y se verificó la necesidad de establecer un responsable de control de datos en esa oficina, para tratar la gran cantidad de datos procesados de toda de Unión. El año pasado se estuvo trabajando con el órgano regulador y el informe final que contempla toda la normativa europea, se hizo público. También se ha tenido contacto con autoridades de control de otros países de la Unión. Afirma que la existencia de una única regulación es un beneficio para los ciudadanos. A las personas les interesa saber dónde se procesan los datos y para quiénes construyen el sistema; sin embargo, el lugar físico de almacenamiento es algo que no les preocupa demasiado. Mediante la ventanilla única el usuario puede acudir al órgano regulador que realmente puede defender sus derechos.
Bruno Gencarelli, Italia. Respecto al impacto de la regulación el panelista indica que la regulación reduce costos administrativos a partir de la eliminación de notificaciones, mediante la ventanilla única. Si bien la ventanilla única ha sido discutida en el panel, afirma que es práctica, posible y eficiente. Está basada en el principio de proximidad, es un importante elemento de simplificación para proteger derechos individuales. Además no restringe la potestad de cualquier usuario de presentar una queja ante cualquier autoridad de protección de datos, que podrá tomar medidas provisionales. Este sistema aumenta y refuerza el ejercicio de los derechos individuales. Finalmente, el Sr. Hustinx concluye que la idea de la ventanilla única necesita ser aclarada ya que fue mencionada como una de las mayores ventajas y también lo fue como desventaja.