El miércoles 6 de junio asistí en Barcelona a la Jornada sobre el desarrollo reglamentario de la LOPD que organizó la UOC en Barcelona. El plantel de ponentes, de lujo: el Secretario de Estado de Justicia, el Director de la AEPD, y parte del equipo jurídico que asesora al Ministerio en el desarrollo del nuevo reglamento. El salón de actos del Centro de Estudios Jurídicos y Formación Especializada del Departamento de Justicia de la Generalitat estaba lleno a rebosar, con más de doscientos asistentes.
De las intervenciones iniciales destaco la de D. Llorenç Valverde, que se autodefinió como “tecnólogo”, y mencionando a Lessig (“el código es la ley”) remarcó la importancia que tiene el software en el tratamiento de datos, dejando caer la idea de que con una programación adecuada se podrían resolver problemas que atormentan a los responsables, como la cancelación de los datos.
- Julio Pérez, Secretario de Estado de Justicia, detalló el recorrido del borrador de reglamento y mencionó las principales preocupaciones del Ministerio: el tratamiento de los datos de menores de edad, los ficheros de solvencia patrimonial y crédito, y los tratamientos no automatizados de datos. Al auditorio nos quedó claro que el borrador ha de pasar todavía el dictamen del Consejo de Estado, y quizá para el otoño esté aprobado.
- Santiago Cavanillas Múgica, Catedrático de Derecho Civil de laUIB, y director del Centro de Estudios de Derecho e Informática de Baleares, intervino magistralmente comentando el artículo 11 del borrador, relativo a la forma de recabar el consentimiento. Haciendo una interpretación práctica redujo a cenizas la regulación del consentimiento que pretende imponer el reglamento nuevo a partir de argumentos prácticos y entendibles. Claramente habló de excesos reglamentarios que infringían el principio de legalidad:
– se hace valer el silencio del interesado como positivo, llevando a un sistema parecido al francés: el responsable podrá dirigirse al interesado concediéndole un plazo de 30 días. Si éste no manifiesta su negativa se entenderá que consiente el tratamiento de sus datos de carácter personal. Esto abre muchas cuestiones: ¿qué medios son válidos para efectuar esta notificación?, ¿desde qué momento hay que contar el plazo?, ¿es legítimo que el reglamento imponga una carga de este tipo al interesado?…
– el artículo en cuestión permite tratar cualquier tipo de datos, incluidos los especialmente protegidos;
– lamentó la poca valentía del legislador en no prohibir las llamadas telefónicas con fines de márketing directo;
Lo que más me choca es que si el artículo 11 se entiende referido a la recogida de datos inicial, el reglamento está legitimando un tratamiento previo. Y me explico: ¿cómo me voy a dirigir a un interesado para recabar el consentimiento sin hacer un tratamiento? Es de locos. Si me dirijo a él, ya le tengo inserto en un fichero, y ya he tratado los datos… para enviarle esta comunicación. O se entiende que esa forma de recabar el consentimiento sólo va referida a interesados cuyos datos ya trata legítimamente el responsable de un fichero, o hay que cambiarle el nombre al título. El Reglamento no puede legitimar un tratamiento que es ilegítimo conforme a la LOPD.
La intervención de D. Lorenzo Prats fue demasiado técnica. Se le debió olvidar que no tenía delante un auditorio de estudiantes o profesionales de derecho exclusivamente y lanzó un largo discurso que se centró en justificar que el reglamento regulaba las relaciones entre los particulares y responsables de los ficheros, catalogando éstas como una relación especial.
Eché de menos que se tratar la novedosa referencia al software de la Disposición Adicional Única. Uno de los ponentes, D. Ricard Martínez, me comentó la razón de su existencia: las reclamaciones de los responsables de ficheros por haber realizado tratamientos con software que no permitía aplicar las medidas de seguridad pertinentes. Y que no tenía nada que ver la aparición de esa Disposición con la Comunicación de la Comisión al Parlamento de la UE que ya comenté. Una demostración más de que el Reglamento se excede: ¿por qué mencionar al software, y no a otros sectores? Sobra la mención, la LOPD no prevée en ninguna parte que haya de establecerse nada al respecto, y son los fabricantes los que debieran preocuparse de producir software que permita cumplir la LOPD, y los responsables escoger el adecuado.
Una buena Jornada que sirvió para apuntar unas cuantas ideas interesantes para aplicar.