[su_pullquote align=»right»]Por Gregory Voss y Kimberly Houser[/su_pullquote]
El debacle que supuso Cambridge Analítica y la consecuente audiencia en el Senado de Estados Unidos reveló sin duda alguna que los Estados Unidos no tiene leyes de privacidad de datos adecuadas. A pesar de la grandilocuencia de los Senadores, éstos demostraron una falta de entendimiento no solo sobre el funcionamiento de la economía de datos, sino también de las leyes de su propio país.
Cuando el Reglamento general de protección de datos (RGPD) de la Unión Europea (UE) fue aplicable el 25 de mayo de 2018, la disparidad entre las leyes de Estados Unidos y las de la UE se pusieron de manifiesto. En nuestro documento de trabajo, GDPR: The End of Google and Facebook or a New Paradigm in Data Privacy? programado para la edición de otoño del Richmond Journal of Law and Technology, exploramos estas diferencias en términos de ideología, la adopción de medidas y las leyes en sí.
El modelo de negocio tecnológico americano se basa en dar servicios gratuitos a cambio de los datos personales del usuario. Esto concuerda con la ley de protección de datos de Estados Unidos, que es específica para cada sector, lo cual significa que solo ciertos tipos de datos, como los datos médicos o financieros, están protegidos pero solo dentro de los límites estipulados por el estatuto correspondiente. En Estados Unidos no existe una ley federal general de privacidad de datos para el sector privado. La Comisión Federal del Comercio (FTC), la autoridad sobre privacidad de facto en Estados Unidos, tiene un historial de emprender acciones judiciales contra empresas tecnológicas bastante escaso. Históricamente, solo en los casos en los que una compañía proporciona una política de privacidad y luego la incumple ha tomado acción en su contra bajo el Artículo 5 de la ley del FTC respecto a “prácticas engañosas e injustas”.
El modelo europeo de privacidad de datos tiene como base fundamental los derechos humanos, siendo fundamental tanto la privacidad como la protección de datos. Bajo el predecesor del RGPD (la directiva de 1995), fueron muchas las acciones que se tomaron contra compañías tecnológicas estadounidenses por violaciones de leyes de los estados miembros de la UE. A pesar de esta larga historia de éxito de acciones legales, estas compañías tecnológicas estadounidenses no han cambiado significativamente su modelo de negocio con respecto a la obtención de datos de la UE. Esto se debe a las bajas multas máximas previstas en la legislación de los Estados miembros (por ejemplo, una multa de 150.000 euros en Francia para una empresa valorada en 500.000 millones de euros).
La ideología estadounidense detrás de la privacidad de datos es equilibrar la habilidad de una entidad de monetizar los datos que recoge (fomentando así la innovación) con la expectativa de los usuarios sobre privacidad (siendo esas expectativas, al parecer, bastante bajas en Estados Unidos) mientras que en la UE, el foco está en proteger las privacidad de los usuarios. Un buen ejemplo de esta dicotomía es el caso Google en España. Un ciudadano español pidió que se quitara del buscador de Google cierta información, algo que bajo la ley de la UE está permitido. Google se opuso a su petición en el tribunal. Por una parte estaba la libertad de expresión (fundamental en Estados Unidos) y el derecho del público a saber reivindicado por Google, y por la otra, el derecho Europeo a la privacidad y al ser olvidado que argumentaba el demandante Europeo. El Tribunal de Justicia Europeo dictaminó que el equilibrio de intereses se inclinaba a favor de la privacidad del español.
Como explicamos en nuestro artículo, la leyes federales de Estados Unidos son específicas para cada sector y las áreas principales son la información sobre sanidad (la ley Health Insurance Portability and Accountability Act o “HIPAA”), la información financiera (la ley Gramm-Leach-Bliley) la información sobre créditos (la ley Fair Credit Reporting Act) y la información sobre menores (la ley Children’s Online Privacy Protection Act o “COPPA”). Además los estados han también promulgado diversas leyes de seguridad de datos destinadas a requerir notificaciones de la violación de la seguridad de los datos.
El enfoque europeo, por otro lado, ha sido siempre mucho más general. La directiva de 1995, por ejemplo, requería a cada Estado miembro de la UE adoptar unas leyes de protección de privacidad integrales que cumplieran con los objetivos de la Directiva. Mientras que la adopción de una directiva permitía flexibilidad en cada estado miembro para la creación de las leyes de privacidad, en 2012, la Comisión Europea determinó que se tenía que actualizar la ley. El RGPD fue promulgado para: armonizar las legislaciones de los Estados miembros, incorporar los avances tecnológicos, eliminar las cargas administrativas para las empresas y, como se afirma en nuestro documento, establecer un marco de igualdad para las empresas de tecnología que usan los datos personales de personas localizadas en Europa.
Dado que las empresas de Estados Unidos han podido monetizar sus datos con muy pocas restricciones o consecuencias, se convirtieron así en gigantes en el campo tecnológico con una cuota de mercado del 80% para Facebook y del 90% para Google. Sin embargo, las normas se han actualizado con respecto a los datos de la UE. El RGPD requiere, entre otras cosas, un consentimiento verificable antes de utilizar los datos de un usuario y el consentimiento para cada uso secundario. En los Estados Unidos no existe un requisito similar; las compañías que operan bajo la ley de los EE.UU. dependen principalmente de un mecanismo de exclusión voluntaria y no están obligadas a revelar los usos secundarios de sus datos. El RGPD también proporciona un derecho al olvido, un derecho a la portabilidad de los datos, la posibilidad de optar por no participar en las decisiones automáticas de las máquinas (elaboración de perfiles), y requiere una base legal para el procesamiento de los datos. Ninguno de estos derechos se conceden a los ciudadanos de los Estados Unidos bajo su ley federal.
Debido a que el RGPD tiene un alcance extraterritorial, la ley se aplicará independientemente de dónde se encuentre la empresa si recoge o procesa datos personales de personas que se encuentran en Europa, si el procesamiento se refiere a la oferta de bienes o servicios (ya sean de pago o “gratuitos”) a dichos “interesados” o a la monitorización de su comportamiento, en la medida que dicho comportamiento tenga lugar en la UE. Esto plantea una cuestión: ¿será el RGPD el fin de Google o Facebook o presentará un nuevo paradigma en la protección de privacidad? Esto queda por ver. De todos modos, dado que bajo el RGPD las multas se moverán en el rango de los mil millones de euros, en lugar de en el rango de los miles como en el pasado, parece probable que el modelo de negocio de estadounidense (servicio por datos) necesitará adaptarse, al menos, con respecto a los datos de la UE.
Este artículo fue publicado originalmente en Oxford Business Law Blog.
[su_pullquote align=»right»]Por Gregory Voss[/su_pullquote]
¿Es posible que la reforma propulsada en 2012 por la Unión Europea (UE) con el objetivo de garantizar un alto nivel de protección de los datos personales de los ciudadanos de los 28 países miembros vea finalmente la luz en 2017? Es muy probable. No obstante, todavía queda por alcanzar un acuerdo entre el Parlamento Europeo, el Consejo de la UE y la Comisión Europea. Es la hora del diálogo tripartito.
Estas tres instituciones de la UE están negociando desde junio de 2015 con el objeto de alcanzar un acuerdo sobre un único texto, el Reglamento general de protección de datos (RGPD). Quedan algunos puntos de desacuerdo entre el Parlamento y el Consejo, especialmente en materia de obtención del consentimiento individual en cuanto al tratamiento de los datos personales, los derechos y deberes de las empresas de recopilación de datos y el importe de las multas en caso de incumplimiento.
Desde el año 2012, la Comisión Europea ha propuesto una nueva legislación sobre la protección de datos de carácter personal. Pese a que el texto fue aprobado por el Parlamento Europeo el 12 de marzo de 2014, aún tiene que ser validado por el Consejo de la UE. Esta reforma permitirá proteger a los ciudadanos europeos y sus datos personales, incluso frente a empresas transnacionales responsables del tratamiento de datos obtenidos a través de Internet cuya sede no se encuentre en la UE. Aunque el nivel de protección de los datos personales es de por sí elevado, el nivel de sanciones económicas es demasiado bajo, contrariamente a lo que sucede en Estados Unidos.
Una vez que las tres instituciones de la UE implicadas hayan alcanzado un acuerdo sobre el proyecto de ley, este sólo podrá adoptarse tras sus correspondientes dos lecturas consecutivas en el Parlamento, elegido directamente por el pueblo, y por el Consejo, que reúne a los gobiernos de los 28 Estados miembros. Tras su aprobación (sin lugar a duda en 2016, aunque algunos creían que sucedería a finales de 2015), será aplicable en el plazo de dos años tras su adopción.
Este RGPD armonizará el derecho europeo y además podría tener como ventaja el iniciar un proceso de armonización del derecho internacional «desde arriba», en materia de protección de datos personales. Asimismo, y según los cálculos de la Comisión, la reducción de la carga administrativa mediante este único texto de ley permitirá ahorrar 2,3 billones de euros por año.
Puede parecer un proceso un tanto largo, pero conviene recordar que fueron necesarios cinco años para negociar la Directiva Europea de 1995 sobre la protección de datos de carácter personal. En lo que respecta al RGPD, todavía llevamos tres años y medio con el proceso, por lo tanto, sigue habiendo un margen.
EL RGPD es objeto de un intenso trabajo de presión para los representantes de los responsables del tratamiento de los datos, quienes, aunque ralentizan el trabajo legislativo, pueden desempeñar un papel legítimo informando al legislador sobre las realidades de las sociedades encargadas de la recopilación de datos.
Desde el caso Snowden, la reforma legislativa ha sido testigo de numerosos sobresaltos. Edward Snowden, exconsultor de la CIA y miembro de la National Security Agency (NSA), reveló en junio de 2013 que el gobierno de los Estados Unidos había obtenido de nueve gigantes norteamericanos de las nuevas tecnologías, informaciones de carácter personal en relación con la personas que vivían fuera de los Estados Unidos, especialmente en el marco de un programa de vigilancia electrónica denominado PRISM. Desde el 21 de octubre de 2013, el Parlamento Europeo propuso un texto en el que una de las disposiciones estipulaba que «el responsable o el encargado del tratamiento informarán […] al interesado si se han facilitado datos personales a las autoridades públicas durante el último periodo consecutivo de 12 meses». Indudablemente, esta disposición se debe al caso PRISM.
En general, los asuntos relativos a la protección de datos han atizado el debate sobre la privacidad en Europa, aunque hayan debilitado la confianza existente entre la UE y los Estados Unidos. Por ello, el 6 de octubre de 2015, en una causa sobre la transferencia de datos de un ciudadano austriaco a los Estados Unidos por el grupo de Facebook en Europa, el Tribunal de Justicia de la UE (TJUE) declaró nulos los Principios estadounidenses de puerto seguro (Safe Harbor Principales) que permitieron dicha transferencia. En caso de amenazas a la seguridad de los Estados Unidos, una cláusula autorizaba a las autoridades estadounidenses a acceder a los datos personales de los europeos. Por supuesto, el TJUE dio seguimiento a las conclusiones del abogado general a raíz del anuncio de la decisión de dicho tribunal que, en su opinión, «esto se ha convertido en un problema para más de 4.000 sociedades norteamericanas y europeas que dependen de los Safe Harbor Principles para la transferencia de los datos de carácter personal a los Estados Unidos». No obstante, está por ver qué acciones emprenderán las instituciones y las empresas europeas y norteamericanas de conformidad con esa decisión.
Por otro lado, incluso a falta de un RGPD, el caso Google Privacy Policy puso de manifiesto que los Estados miembros de la UE tienen a su disposición las herramientas necesarias para obligar al buscador a respectar la privacidad y los datos personales. De este modo, tras varias órdenes judiciales, las autoridades de protección de datos personales de Alemania, España, Francia, Italia, Países Bajos y Reino Unido, dictaron sanciones contra Google, en particular multas de varios de cientos de miles de euros. Incluso si estas penalizaciones son relativamente bajas en comparación al volumen de negocios de Google (59 mil millones de euros en 2014), apuntan a medidas de ejecución más estrictas basadas en el volumen de negocio de la empresa sancionada en el marco del proyecto de legislación europea.
En Francia, la Comisión Nacional de Informática y Libertades (CNIL) discrepa de Google sobre la desreferenciación en respuesta a la decisión del TJUE en contra de Google España. Desde el reconocimiento de este derecho por el tribunal, en 2014, cualquiera puede solicitar a un buscador que suprima los resultados que aparecen al buscar su nombre. En consecuencia, Google recibió decenas de miles de solicitudes de ciudadanos franceses. Por consiguiente, procedió a la desreferenciación de determinados resultados de las extensiones europeas de los buscadores (.fr; .es; .co; .uk; etc.). Sin embargo, no realizó la desreferenciación en otros dominios geográficos o incluso en google.com, pudiendo ser consultados por cualquier internauta. En mayo de 2015, la CNIL envió un requerimiento a Google para que realizara dicha desreferenciación en todos los dominios. No obstante, Google sostiene que esta decisión constituye una violación del derecho a la información pública y, por tanto, una forma de censura. Lo más probable, es que se nombre a un ponente para que encuentre la mejor solución posible.
Mientras que la Unión Europea trata de alcanzar un acuerdo sobre un único texto en materia de protección de datos personales, los gobiernos, como el de Francia, siguen reforzando su arsenal legislativo. El gobierno galo presentó el 26 de septiembre de 2015, un proyecto de texto sometido a la opinión pública para una «República informática»: alrededor de 30 artículos relativos al secreto de las comunicaciones comerciales electrónicas, la portabilidad de los archivos o el libre acceso a los datos públicos. Esta consulta a los ciudadanos para la elaboración del documento es un proceso sumamente interesante, de cuya evolución habrá que estar pendiente.
[su_note note_color=»#f8f8f8″]Por Gregory Voss y los artículos «European Union Data Privacy Law Developments» (Novedades en materia de privacidad de datos en la Unión Europea), publicado en The Business Lawyer (volumen 70, número 1, invierno 2014-2015), «Looking at European Union Data Protection Law Reform Through a Different Prism: the Proposed EU General Data Protection Regulation Two Years Later» (Una mirada diferente sobre la reforma legislativa en materia de privacidad de datos en la Unión Europea: la propuesta de la UE para regular la protección de datos dos años más tarde) , publicado en Journal of Internet Law (volumen 17, número 9, marzo 2014) y «Privacy, E-Commerce, and Data Security» (Privacidad, comercio electrónico y seguridad de los datos), publicado en The Year in Review, publicación anual de ABA/Section of International Law (primavera 2014), escrito junto con Katherine Woodock, Don Corbet, Chris Bollard, Jennifer L. Mozwecz y João Luis Traça..[/su_note]
[su_box title=»Aplicaciones prácticas» style=»soft» box_color=»#f8f8f8″ title_color=»#111111″]El impacto del RGPD para las empresas dependerá del texto final aprobado por la UE. Lo que sí es cierto, es que las empresas que manejan dichos datos tendrán una mayor responsabilidad de ahora en adelante. Sin duda alguna, algunas empresas tendrán que crear puestos de Responsables de Protección de Datos (DPD) conforme al modelo Correspondant Informatique et Libertés (CIL) (Persona representante del CNIL en Francia. Por otra parte, se crearán empresas especializadas en materia de protección de la privacidad. En consecuencia, se aconseja a los directivos de las empresas que estudien la legislación en materia de protección de datos personales con el objeto de ajustarse a la legislación cuando entre en vigor. Asimismo, se sugiere que los empleados se formen en materia de protección de datos personales. Finalmente, las empresas tendrán que establecer procedimientos adecuados para cumplir con la legislación sobre la protección de datos de carácter personal, incluso aquellas que permitirán las notificaciones previstas por el RGDP sobre la violación de datos de carácter personal.[/su_box]
[su_spoiler title=»Metodología»]Con el objetivo de redactar los artículos sobre la legislación en materia de protección de datos de carácter personal, he analizado cuantiosos documentos jurídicos así como «cientos de páginas de propuestas, sanciones y notificaciones» obtenidos de los trabajos del G29, el grupo de trabajo independiente de la UE sobre el tratamiento de los datos de carácter personal. En dichos artículos, se ha puesto en perspectiva las propuestas de las organizaciones europeas para la aprobación de un RGPD y ofrezco consejos prácticos a las empresas. De la misma manera, se ha estudiado la evolución de las posiciones de las diferentes organizaciones europeas, tales que la Comisión Europea, el Parlamento o el Consejo de la UE así como las reacciones del legislador tras las revelaciones de Edward Snowden en materia de vigilancia electrónica.[/su_spoiler]