"El 90% de las comunicaciones LOPD que se enviaron el pasado 25 de mayo no obedecía a ningún rigor jurídico"
Entrevista a Juan José Talens, socio y director jurídico de Iuristec, un despacho especializado en derecho en nuevas tecnologías y seguridad de los sistemas de información
Cómo ha afectado el nuevo RGDP a la vida de las empresas en general y a los negocios de las islas en particular.
Por una parte hubo un fenómenos social o más bien empresarial que produjo un aluvión de comunicaciones electrónicas con carácter previo e inmediato al 25 de mayo de 2018. Pues bien, puedo asegurar sin riesgo a equivocarme que el 90% de las mismas no obedecía a ningún rigor jurídico y eso me llamó muchísimo la atención. Hubo una interpretación que no fue acertada por parte de muchas empresas y que incluso ha contribuido a que existe una cierta confusión al respecto del Reglamento General de Protección de Datos. Estamos ante un espíritu normativo que obedece a estándares de 1999 y, aunque ha habido modificaciones de la misma con anterioridad, nunca antes se había producido una reacción empresarial de este tamaño.
En segundo lugar, con respecto a la empresa balear o mallorquina, que no deja de ser una empresa normal como cualquier otra europea que trata datos de carácter personal, o aquellas empresas de fuera de la UE pero que dirijan su foco y sus comunicaciones hacia nuestro territorio, deben cumplir una serie de obligaciones en material de LOPD que se traducirán en un incremento de la sensibilidad por parte de las personas físicas respecto a la privacidad o al cuidado que otros tengan de sus datos personales. También se desarrollará un aumento de la conflictividad en esta materia que, según lo que hemos podido ir observando en estos últimos meses, cifraría en un 30% más de lo que venía sucediendo con anterioridad al 25 de mayo de este año. El hecho de popularizar la norma ha producido una especie de altavoz sobre en qué consiste esto de la privacidad, las empresas han tomado conciencia de que se están dando unos pasos más allá de lo que eran las obligaciones formales que establecía la tradicional LOPD hacia la efectividad del cumplimiento normativo.
Parece que esto de la protección de datos es una novedad pero su empresa, Iuristec, lleva una larga trayectoria en este campo. ¿Cuáles son las principales aplicaciones que han tenido y tienen sus servicios para las empresas mallorquinas?
Iuristec ha podido aportar en los últimos veinte años algo que ha sido muy difícil de encontrar que son la experiencia y el conocimiento de juristas y técnicos informáticos trabajando al unísono, abordando problemas o buscando soluciones para las empresas en todo lo que tenga que ver con el derecho en las nuevas tecnologías, en cualquiera de sus campos. Es cierto que como coincidió prácticamente nuestra aparición, allá por el año 2000, con la irrupción de la Ley Orgánica de Protección de Datos, que siendo del año 1999 tardó un tiempo en implantarse en el mundo empresarial, la gestión de la privacidad nos ha ocupado en un 80 o 90% de nuestro tiempo. Iuristec obedece a ese equilibrio (la suma de iuris, el mundo jurídico, y tec, el campo tecnológico) que entendemos que van a tener que ir de la mano. Creo que no habrá despachos que tengan en sus filas un informático o asesor porque la tecnología forma parte de lo cotidiano, casi de nuestras vidas. En cualquier demanda que se interponga en un juzgado hay un elemento tecnológico, por ejemplo un despido en el que hay unas comunicaciones desde un teléfono que fue facilitado por la empresa. El derecho a la privacidad viene recogido ya en la Constitución y, desde entonces, cuando más avanza la tecnología y más accesible es la información para adultos y menores, más se compromete su identidad y sus datos de carácter personal y por tanto su dignidad con respecto a su condición de persona.
Bufete Buades y Iuristec mantienen una estrecha relación y colaboran en asuntos de manera conjunta, ¿recuerda la primera o alguna de las primeras veces en las que trabajaron de la mano?
Desde el principio mi socio, Miquel Àngel Cerdà, y yo (Pascal Stämpfli, nuestro tercer socio se incorporó un poco más tarde) tuvimos varias reuniones con Joan Buades que para nosotros ha sido una persona muy importante por la ayuda que nos hemos podido prestar ambos despachos. En el caso de Bufete Buades, cuando han requerido nuestros servicios para una colaboración puntual en materia de protección de datos o cuando alguno de sus clientes ha necesitado asistencia en esta materia, el resultado ha sido altamente satisfactorio y estamos encantados.
Con la era de la digitalización se habían simplificado o agilizado muchos procesos en las empresas. ¿Cree que el nuevo reglamento de protección de datos dificulta esta simplificación o simplemente se trata de aplicarlo con sentido común y eso no interferirá en el ritmo productivo de los negocios?
La privacidad y la protección de datos siempre juega un papel importante en el escenario de la convivencia entre todos, ya sea en el ámbito empresarial, laboral, en el mundo del ocio… Y lo hace sometida a diversas tensiones: la tensión empresarial, lógicamente, cuyo objetivo es vender más, incrementar la cuenta de resultados, tener cada vez más clientes y poder llegar a ellos…; otra tensión es la que responde a la seguridad y la integridad de las personas y como se relaciona con la privacidad; en cuanto a la actividad comercial, es un hecho que los negocios proponen a los consumidores que les faciliten sus datos personales para poder llegar más fácilmente hasta ellos, conocer sus gustos etc. La Unión Europea ha visto que existe un tipo de tecnología que puede comprometer la protección de datos de carácter personal de los ciudadanos y fundamentalmente tiene que ver con la segmentación, monitorización y seguimiento, prácticamente continuo, del día a día de un individuo. Desde su navegación web, su geolocalización, la monitorización del empleado en su lugar de trabajo, el control de su correo electrónico… Por eso debemos buscar un equilibrio entre los derechos fundamentales de las personas físicas y su derecho a la privacidad desde el punto de vista del consumidor pero también en el entorno de trabajo, y el derecho del empleador a controlar a sus empleados y establecer medidas organizativas y de querer vender más y llegar a sus clientes potenciales. Hay que buscar ese equilibrio. No soy partidario de la burocratización de esos procesos y en Iuristec siempre tratamos de analizarlos y buscar la fórmula que resulte más sencilla para no entorpecer el objetivo final. No pensamos que sea incompatible querer aumentar las ventas con el respecto a la información de carácter personal, al igual que un empleador debe poder controlar el trabajo de sus empleados y éstos, a su vez, que pueden pasar en las oficinas ocho o más horas de su vida al día, deben tener momentos en los que no se vean sometidos a un control y una vigilancia continuada.
Por último, sin nombrar por supuesto a la empresa, si tuviera que quedarse con un caso reciente al que gracias a su asesoramiento en materia de protección de datos ha supuesto un beneficio, o por lo menos un ahorro de graves sanciones, ¿cuál sería?
Uno de ellos, que ocurrió ya hace una serie de años, fue uno de suplantación de identidad en contratación de telecomunicaciones. Se evidenció que una serie de personas empezaron a recibir domiciliaciones bancarias cuando no habían contratado ninguna línea con la compañía de telefonía. Tuvimos que interponer una denuncia ante la Agencia Española de Protección de Datos solicitando un procedimiento de tutela para que nos ayudasen a averiguar qué estaba sucediendo. También hicimos un requerimiento a las compañías telefónicas para que nos aportasen la copia de cada uno de esos supuestos contratos en el que basaban su cobro. Al obtener la callada por respuesta tuvimos que interponer una denuncia ante la AEPD que finalizó con una sanción muy, muy importantes, millonarias en los estándares de la peseta y casi en los del euro. Compruebas la importancia de la norma en la cuantificación de la sanción en un caso tan grave como éste en el que alguien vea suplantada su identidad y una entidad entienda que tiene un vínculo jurídico por el que debe pasar un cobro pero que no lo base en ningún documento ni en la firma absolutamente fehacientes.
Más recientemente he tenido la oportunidad de pasar una temporada este verano en Estados Unidos y he podido analizar la comparativa entre el derecho europeo y el americano en cuanto a la privacidad. Estamos en estándares completamente diferentes e incomprensibles a los ojos de un europeo. En concreto, he analizado una aplicación tecnológica que provee el departamento público de seguridad de Texas. Se trata de una app móvil desde la que puedes acceder a quienes son fugitivos en tu comarca y conocer su domicilio, o saber la categoría de los delitos más habituales en tu zona, con identificación fotográfica de las personas que han cometido delitos de abusos sexuales a menores, por ejemplo, si son vecinos tuyos o no y conduciendo a Google Maps dónde aparecen localizados con una bandera identificativa (roja, amarilla o verde) en función de la gravedad del delito cometido y de sus respectivas condenas. Esos estándares que permiten que cualquiera lleve esa app descargada en su móvil resultan totalmente normales en EE.UU. y a nadie le llama la atención, en la normativa europea es inimaginable. En el derecho europeo la protección a la información personal del individuo siempre debe buscar un equilibrio entre, por ejemplo, la capacidad de su derecho al olvido o el derecho a la reinserción en la sociedad que es el objetivo principal de una pena de prisión. En el caso de la app estadounidense, eso desaparece y ese equilibrio siempre se rompe a favor de la seguridad y cede la privacidad para dotar de elementos de colaboración para que la gente se sienta más segura.