Dos años desde la entrada en vigor de la LOPDGDD, los derechos digitales todavía necesitan de un desarrollo reglamentario

Pese a la transformación digital que muchas empresas y entidades han acelerado estos meses por el impacto del COVID-19, los llamados derechos digitales, recogidos en la LOPDGDD de 8 de diciembre en su título X, siguen siendo testimoniales.

La Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales  (LOPDGDD) ha ayudado a adaptar a la legislación nacional mucha de la problemática del Reglamento Genaral de Protección de Datos (RGPD), un Reglamento que cambia por completo el enfoque de lo que es la privacidad.

Ya no es algo estático sino que las empresas e instituciones deben estar en disposición de demostrar en cualquier momento que cumplen con dicha legislación.

Expertos en privacidad, como Ricard Martínez, director de la Cátedra Microsoft -Universitat de València de Privacidad y Transformación Digital y miembro del grupo de expertos que está trabajando en una Carta de Derechos Digitales; Marcos Judel, presidente de Asociación Profesional Española de Privacidad (APEP); y Paz Martín, socia directora del despacho Legalthings, hacen un balance de estos dos años  y ofrecen soluciones para impulsar estos derechos digitales.

ENGANCHE CON EL RGPD

Ricard Martínez  recuerda que la disposición adicional decimoséptima de esta LOPDGDD, incluida tras el debate público abierto sobre la norma, permite la investigación con datos de la salud, “ayuda a tratar datos personales para la investigación epidemiológica, en supuestos de pandemia como el actual  y maximiza las posibilidades de investigación con datos, algo clave para lograr vacunas”.

Sobre la nueva normativa de protección de datos que incorpora un Título X sobre derechos digitales señala que “hablamos de una ley que opera como una especie de suplemento y que ha ayudado a adaptar el Reglamento Europeo de Protección de Datos (RGPD) a nuestra normativa específica. Tiene relevancia en todo lo relacionado sobre transparencia por capas, entre otras cuestiones”.

Para impulsar estos derechos digitales, afirma que “hay dos estrategias posibles. Una primera que contempla que cada derecho digital responde a una filosofía distinta. Hay una serie de derechos que dependen de la acción definida del Estado, el derecho de acceso universal a Internet y los derechos relacionados con menores y la educación. Habría por tanto que identificarlos por si necesitan políticas públicas. Sin ellos no serán posibles”.

Según Martínez, “hay derechos digitales que tienen que ver con aspectos laborales y después con aspectos relacionados con servicios de la sociedad de la información, de otra. En ambos casos, habría que impulsar condiciones de cumplimiento sectorial. Trabajar con las empresas para verificar de que modo pueden ejercer esos derechos de forma viable. En este escenario es contraproducente el derecho sancionador para implementarlos”.

A su juicio, “también son relevantes las disposiciones aplicables a tratamientos concretos y muy en particular a todo lo que tiene que ver con tratamiento de datos de los trabajadores. Hay dos normas que obligan a un esfuerzo a las empresas desde esta LOPDGDD. Una es la del registro de jornada horaria, donde se manejan datos biométricos en algunas ocasiones y el teletrabajo, donde hay un esfuerzo adicional a la seguridad y enlaza con el derecho a la desconexión digital”.

Ricard Martínez es el director de la Cátedra de Privacidad y Transformación Digital Microsoft-Universitat de València.

Por lo que se refiere al COVID-19, reconoce que la prevención de riesgos laborales ha tenido que adaptarse a un nuevo escenario “la autoridad de protección de datos ha puesto en valor al os servicios de prevención de riesgo y a los tratamientos de datos de salud de los trabajadores. Hay políticas como la toma de temperatura que ha generado problemas para las empresas”.

Pese al esfuerzo que ha hecho la AEPD, en lo que se refiere a impulsar iniciativas y recursos para dar a conocer los aspectos claves del RGPD, “en una situación de crisis como la actual se suele recortar en temas de protección de datos. Es una de las primeras cosas que se deja de invertir cuando suceden situaciones de este tipo”.

Respecto al testamento digital, Martínez recuerda que “no solo se puede hablar de los contenidos de esa persona fallecida en determinadas redes sociales, es algo más amplio. Hay que garantizar ese derecho y ubicarlo donde toca que es el Código Civil y en la legislación de las Comunidades Autónomas.  Creo que la norma que se apruebe abordará las cuestiones procedimentales, a nivel de acceso e identificación”.

Este experto señala “la vida digital de las personas es notable. Hay que ver que se hace con ella. Hay elementos intangibles pero que tienen valor afectivo determinante. Hay otros supuestos donde ese testamento digital supone el acceso a datos o asuntos que están imbricados con derechos de tercero. Es el caso del correo electrónico donde hay mensajes que han llegado de otros, empresa o allegados”.

MÁS CONCIENCIA DE LA PROTECCIÓN DE DATOS

Marcos Judel, por su parte, destaca que “afortunadamente cada vez hay una mayor conciencia social y empresarial de la importancia de la protección de datos. No se debe olvidar que es un derecho fundamental que tenemos todos destinado a dotarnos de un poder de control y decisión sobre el uso que hacen otros sobre nuestros datos”.

Cree que “esta concienciación ha venido sin duda de que los ciudadanos son cada vez más conocedores y vigilantes de sus derechos, pero también gracias a que muchas empresas y administraciones públicas han sido proactivas en el cumplimiento normativo del RGPD y la LOPDGDD tomándolas como un activo en lugar de una carga”.

Para Judel, “gracias igualmente a los profesionales de la privacidad y delegados de protección de datos que ayudan a que se difunda más rápidamente esta nueva cultura. Desde la Asociación Profesional Española de Privacidad, no podemos sino sentirnos orgullosos del impulso que dan nuestras asociadas y asociados a la difusión de esta normativa”.

En este sentido, “la AEPD ha tenido un papel también importantísimo en estos dos años, no solo por su labor sancionadora, que indudablemente lanza un mensaje de la importancia de todo este asunto, sino por su actividad concienciadora, su capacidad para aportar guías y soluciones”.

Para el presidente de APEP, «el regulador ha estado apoyando también a los profesionales, que somos quienes nos encontramos asesorando en primera línea a las empresas y administraciones públicas. Y también la Autoridad Catalana y la Agencia Vasca y el Consejo de Transparencia y Protección de Datos de Andalucía juegan un importante papel en esta cuestión”.

Marcos Judel es presidente de la Asociación Profesional Española de Privacidad (APEP).

Respecto a los derechos digitales de ese Título X de la LOPDGDD, Judel señala que “como todo lo nuevo, lo importante es la formación y la concienciación. Se requiere que se difunda más estos nuevos derechos y que el mensaje vaya calando en la sociedad y en las empresas y administraciones públicas con ayuda de las autoridades”.

Hay que darse cuenta, asegura, que “esto es algo nuevo. No estamos hablando de la protección de datos que tiene un bagaje legislativo en nuestro país desde la LORTAD de 1992, pasando por la LOPD de 1999 o su Reglamento de 2007. Aquí hay que añadir una vuelta de tuerca más las obligaciones para el empresario”.

También aclara que “derechos como la desconexión digital provoca muchas filias y fobias, dependiendo del carácter del empresario y los usos que ha venido haciendo y que considera que es normal o bueno. Hay que trabajar desde la formación y la concienciación, pues es lo que mejores resultados ofrece para un adecuado cumplimiento normativo”.

De esos derechos digitales cita el derecho a la portabilidad “es un derecho que en ciertos niveles nos trae bastante de cabeza, pues pueden entrar en juego muchos otros factores que tienen implicación mucho más allá de la protección de datos en stricto sensu”.

“Dependiendo del sector, pueden darse casos de que una portabilidad efectuada directamente y sin filtro puede desvelar secretos industriales o revelar aspectos del derecho a la propiedad intelectual sui generis de las bases de datos… requiere a veces de un profundo análisis previo y no actuar tan a la ligera”, aclara.

Y “lo mismo pasa con otros derechos, pues hay quien los conjuga de diversas formas para “cazar” al responsable y tenerle a su merced”.

HAY QUE DESARROLLAR LOS DERECHOS DIGITALES 

Para Paz Martín, socia directora del despacho Legal Things, en estos dos años de nueva normativa de protección de datos “el balance ha sido positivo. La LOPDGDD es más conocida y existe un conocimiento generalizado de la existencia de una “nueva” normativa de protección de datos que establece obligaciones para las entidades que gestionan datos”.

Esta experta señala que “la AEPD como anunció hace dos años, ha sido bastante comedida en la imposición de sanciones y ha tenido en cuenta que la normativa era nueva para todos. No se ha caracterizado por sanciones especialmente elevadas y se han impuesto muchos apercibimientos sobre todo a pequeñas empresas”:

En materia de derechos digitales, ahora se empieza a hablar un poco más de los mismos. Es una ley de mínimos y en su mayoría necesitan ser desarrollados ampliamente por la importancia que tienen. La Carta de los Derechos Digitales de la que ya hay una primera versión también ayudará a conocer mejor estos derechos.

Para que se conozcan mejor esos derechos digitales, Martín sugiere una estrategia mixta donde se combine “el conocimiento y formación: tanto el ciudadano como las empresas y organizaciones deben conocer bien el alcance de estos derechos y en qué les afecta”.

Al mismo tiempo ve claro la necesidad del desarrollo reglamentario de aquellos derechos que expresamente lo tienen previsto. La LOPDGDD crea un marco normativo que necesita desarrollo y trabajo para aterrizar su materialización”.

Junto con ello cree necesario el desarrollo de herramientas y políticas generales para que los derechos se puedan garantizar de forma real.

“Muchos de estos derechos implican contar con medios que los hagan posibles: por ejemplo, si no se habilitan sistemas cómodos y eficaces para poder expresar últimas voluntades “digitales” y que los herederos puedan fácilmente cumplirlas, el derecho quedará vacío de contenido. O por ejemplo el derecho a la rectificación. Algunos estándares serían bienvenidos para facilitar que no sean los derechos de unos pocos con conocimientos de la norma”, advierte.

Paz Martín es socia directora del despacho Legal Things.

Sobre qué es lo más complicado de entender para el empresario, Martín resalta que “el RGPD y la LOPDGDD han supuesto un cambio en los modelos de cumplimiento y esto está costando: el cumplimiento es un “movimiento continuo” y muchas empresas todavía se aferran al cumplimiento de “foto fija”

Es decir, no se trata de sentarse un par de días al año a pensar en privacidad o de derechos. Las verdaderas garantías de los datos de las personas vienen cuando en la cultura de la empresa cala el mensaje de que hay que orientar el negocio en el respeto a la privacidad.

“Esto supone que toda la organización cumpla o al menos esté concienciada y sepa cuándo debe preguntarse. Aquí entra en juego la llamada “privacidad desde el diseño y por defecto”. Si la existencia de nuevos derechos está interiorizada, la gestión de los datos se abordará desde una perspectiva mucho más respetuosa con los mismos”.

Esta experta también señala que “dado que tenemos una legislación laboral (y su aplicación jurisprudencial) bastante proteccionista de los trabajadores, el reconocimiento de determinados derechos en el mundo digital parece una consecuencia lógica de los entornos de trabajo actuales. Quizá costará aterrizar derechos como el de desconexión pero en general las empresas están aceptando estos derechos”.

En cuanto al testamento digital, que viene fijado en el articulo 96 de esta nueva LOPDGDD “ahí se dice que hará falta un desarrollo reglamentario.

“De lo contrario puede suceder que los herederos se encuentren con situaciones que no sepan bien cómo abordar o bien que se produzcan situaciones en las que la voluntad del fallecido no se haya reflejado a través de un medio adecuado y por lo tanto no sea válido a estos efectos. Aquí queda mucho por hacer”.