En pleno proceso de apaciguar fieras hambrientas de conocimiento sobre cómo les iba a afectar el entonces futuro Reglamento General de Protección de Datos (por aquel entonces, otra versión de un borrador que había que estudiar), en octubre de 2015 el Tribunal de Justicia de la Unión Europea tuvo a bien cargarse el acuerdo de Safe Harbor. Recuerdo que reinó el caos. Era como si para muchos el invierno hubiera llegado sin avisar, de golpe, sin cinco temporadas avisando de que sucedería… (lo siento, todavía estoy impactado por el último capítulo de Juego de Tornos).

Empiezo por el final y hago un spoiler: ¡El Privacy Shield ha llegado! O lo que es lo mismo, las empresas vuelven a tener el amparo de un acuerdo entre la Comisión Europea y el Departamento de Comercio de Estados Unidos para que los flujos de datos entre uno y otro lado del Atlántico vuelvan a producirse sin necesidad de complicadas y costosas cargas legales y administrativas.

Volviendo la vista atrás, el Tribunal de Justicia de la Unión Europea invalidaba el acuerdo al considerar que las garantías de protección en EE.UU. no eran adecuadas, lo que provocó un buen susto a las empresas de nuestro país (y a las europeas, en general) que, bien por formar parte de un grupo multinacional, bien por tener proveedores de cloud computing, hosting o servicios web al otro lado del Atlántico, realizaban estos flujos en forma de operaciones intragrupo o de prestaciones de servicios. Tras la sentencia, la AEPD anunció el cambio de criterio, dando de plazo hasta finales de enero de 2016 para comenzar a perseguir las posibles infracciones, tal y como se acordó en el seno del Grupo del Artículo 29. Y a partir de ahí reinó el caos, pues ello suponía, para muchísimas empresas, exponerse a importantes sanciones.

La movilización fue total. De esta forma y en tales plazos, no sólo se produjo un éxodo a proveedores de servicios Europeos (o de EE.UU. pero con instalaciones en la Unión) por parte de las empresas, sino que, en muchas ocasiones, los abogados tuvimos que actuar rápidamente en las tareas más engorrosas. Tratar de restablecer un marco de seguridad jurídica, perdido tras la sentencia, mediante un proceso mucho más complejo, caro y muchas veces ininteligible por parte de éstas, era necesario y urgente. Así que hubimos de volcarnos en la redacción de solicitudes de autorización al Director de la Agencia Española de Protección de Datos para realizar transferencias internacionales, o en proponer la ardua tarea de adoptar normas corporativas vinculantes («BCR») en el seno de organizaciones internacionales, un proceso todavía más complicado. Más caos.

Sin embargo, la maquinaria de la Comisión Europea se activó, y comenzó a negociar con el Departamento de Comercio estadounidense un nuevo acuerdo. Algo que creímos que sería rápido e indoloro para las empresas, y que llegaría a finales de enero, con el atratactivo nombre de Privacy Shield, apurando los plazos previstos por las autoridades de supervisión… pero que no se terminó de concretar, en gran medida por la airada reacción del Grupo del Artículo 29 al primer texto publicado desde Bruselas. Otro revés del guión que nos dejaba en vilo.

De hecho, no eran muy esperanzadoras las noticias que nos trasladaban desde la Comisión Europea nos trasladaron en el IV Congreso de Privacidad APEP. Al parecer la negociación estaba siendo larga, dura, e incluso la alargada sombra del acuerdo comercial TTIP (Tratado Transatlántico de Comercio e Inversiones) influía en el tira y afloja de las negociaciones. El segundo plazo para alcanzar un nuevo acuerdo (junio) no se iba a cumplir, y así nos lo pareció y nos lo creímos. Siendo sinceros, ¿cómo íbamos a imaginar que esta vez se cumplirían los plazos?

Llegó el 30 de junio y sin rastro del ansiado acuerdo. Pero finalmente, con algo de retraso sobre el plan previsto, han cumplido: bienvenida sea la Decisión de la Comisión de 12 de julio de 2016.

El invierno se aleja y vuelve la luz a las empresas, que desde hoy cuentan con un marco habilitante para transferencias internacionales sencillo, económico y adecuado para el desarrollo de los negocios digitales. Un nuevo acuerdo que comparte muchos principios con el Safe Harbour e incluye otros nuevos, tendentes a que exista una mayor protección de los datos de europeos que acaban en EE.UU. Si bien lo analizaremos con más detenimiento en un próximo artículo, la noticia debe ser entendida como motivo de alivio y satisfacción. Pero la vida real es como la ficción con la que encabezaba esta entrada, cuando ya parece que va a haber calma y las cosas vuelven a su sitio… ¡van los Británicos y hacen un BrexTICs! Otro giro de guión para mantener la tensión.

Por cierto, en respuesta a las preguntas que formulaba Eneko en su artículo, qué duda cabe de que cuando los británicos abandonen la U.E., los flujos de datos a este país serán transferencias internacionales. La verdadera cuestión es: ¿será preciso reconocer al Reino Unido como país adecuado? ¿Harán un acuerdo del tipo Beefeater Privacy? ¿O tendremos que volver a empezar a lidiar con la documentación legal, las policy y las autorizaciones, pero esta vez con los sajones originales? Lo que está claro es que esta serie sobre la protección de datos y su libre circulación da muchos giros, y nos tiene a todos pendientes.

Keep calm. Keeeeeep caaaaalmmmm… O, de una forma un poco más propia de nuestros lares, tranquilidad y buenos alimentos, porque ha ganado el «leave» en el referendum y, efectivamente, eso supone que (al menos sobre el papel) el Reino Unido ha decidido dejar de pertenecer a la Unión Europea.

Antes de la más que probable oleada de dudas respecto a “cómo afecta esto a mi empresa / start-up / ventas online a Londres / exportaciones / etc.” vamos a centrarnos en dar un mensaje claro: es el momento de que las decisiones sean tomadas con calma, tranquilidad y el máximo de información posible. Lo que viene a significar: tiempo y paciencia.

Sin pretender un análisis político (no estamos aquí para esos gigantes, Sancho), parece claro que algunas cosas cambiarán, pero no podemos saber hasta qué punto si no esperamos a conocer cuál va ser la consecuencia política en materia de aplicación de legislación comunitaria, directivas europeas, normas armonizadas…

Como los tiempos de cambios son, a la vez, tiempos de templanza pero también de audaces, me la juego en plan oráculo a adivinar las preguntas más habituales de los próximos días. Que no se diga: ¿Cómo afecta el Brexit a las TICS? ¿Tenemos BrexTIC?:

• ¿Seguirá aplicándose el mismo sistema impositivo a la compraventa de productos electrónicos (ebooks, software, videojuegos…) o será diferente?
• ¿Seguirán considerándose los tratamientos realizados en territorio de UK, a efectos de la normativa de protección de datos, como europeos? ¿Habrá que considerarlos transferencias internacionales? ¿Tendrá que solicitar el Reino Unido la adecuación?
• ¿Enviar productos comprados online a Londres desde mi tienda de Badajoz se considerará exportación? ¿Tendrán que pasar por una aduana?
• ¿Aplica el límite de valor de 150 euros por pedidos (típico inglés) para que me graven con aranceles, además de con impuestos de valor añadido? ¿Nos abocamos a un universo de productos a 149,99?

Todo esto y mucho más, casi seguro, llegará en forma de mails de clientes preocupados los próximos días, y es lógico que así sea porque la bolsa no es la única que se ve afectada por este tipo de noticias: la incertidumbre es como los caminantes blancos de Juego de Tronos: una vez que se libera no hay quien la pare (y los abogados no contamos precisamente con plumas de acero valyrio). Así que a todo esto y a mucho más, no puede por ahora darse una respuesta segura, ya que, literalmente, no podemos saberlo.

Los abogados no vamos a tener respuestas milagrosas: sin saber los acuerdos bilaterales que el Reino Unido mantenga (o cree) con la Unión Europea, resulta a todas luces complicado (decir imposible suena mal) que se pueda ofrecer un escenario de seguridad jurídica firme. Es posible que sea preciso hacer algunos cambios en condiciones legales de páginas web, y sin duda el escenario en materia de protección de datos variará sensiblemente, aunque el contexto tampoco es especialmente malo teniendo en cuenta que actualmente nos encontramos en pleno proceso de asimilación del Reglamento europeo (que en un mundo ideal, se debería interpretar para tener en cuenta el nuevo contexto, o al menos para ahorrarnos en parte las incertidumbres que ya hemos ofrecido con en el caso de los Estados Unidos).

Así que, por ahora, y como empezábamos, keep calm with BrexTIC, and trust your lawyer… que aún no ha cambiado nada, amigo Sancho.

Creo que mi fama de cocinillas está empezando a precederme. Quiero pensar que es por eso, por lo que mucha gente durante este último mes me pregunta por la receta de cómo abordar el Reglamento General de Protección de Datos (RGPD). Podían simplemente decir «y tú como lo ves», «cuál es tu opinión», «qué nos recomiendas»… pero no, preguntan por «recetas». ¡Está claro que es una indirecta para venir a desayunar al despacho!

Bromas aparte, apresurarse y afrontar ya una adaptación total a la nueva norma puede parecer, desde luego, muy loable, pero a mi modo de ver resulta inútil e ineficaz, al menos en estos momentos. A pesar de que el RGPD entró en vigor el pasado 25 de mayo, no será de aplicación hasta el 25 de mayo de 2018, lo que da un cierto margen para poder realizar todos los procesos de adaptación. Primero, porque se necesitará tiempo para migrar los tratamientos de una norma a la otra. Segundo, porque ese tiempo también es necesario para que el regulador y el legislador aclaren, interpreten y definan numerosas cuestiones bastante importantes: la legitimidad para el tratamiento de datos a partir de 2018, los criterios de ponderación para el interés legítimo, las notificaciones de brechas de seguridad, la concreción del estatuto del Delegado de Protección de Datos (DPO)… Todo ello, hace que ahora mismo sea tremendamente complicado abordar este cambio con seguridad jurídica.

Además, conviene recordar que el RGPD no derogará, hasta el día 25 de mayo de 2018, la actual Directiva 95/46/CE, transpuesta a nuestro ordenamiento por la Ley Orgánica de Protección de Datos y su reglamento de desarrollo (RD 1720/2007). ¡Pero ojo! No hará lo propio con las normas nacionales, por lo que, al menos durante un tiempo, tendremos que convivir con un Reglamento Europeo de aplicación directa en España y con la LOPD, en tanto en cuanto no se contradigan… Todo un reto, que esperamos ayude a abordar la Comisión General de Codificación, que está ya estudiando qué leyes y normativas se ven afectadas por el RGPD, y en su caso podrá proponer al legislador su derogación o modificación.

Como ya es bien sabido, el RGPD no establece obligaciones de registrar los ficheros en las autoridades de control, no define medidas de seguridad a aplicar en los tratamientos, no exige a recogerlas en un documento de seguridad ni las clasifica en función de niveles (básico, medio o alto), ni impone la realización auditorías bienales… Se centra en que se garanticen resultados de protección adecuada a la naturaleza del tratamiento, poniendo al interesado en el centro del sistema. Pero, como decía, al menos durante estos dos años conviviremos con la normativa nacional que sí obliga a todas esas cosas. Durante este periodo resultará clave conjugar el viejo modelo de protección de datos con el nuevo, primero para evitar desviaciones normativas y sus consecuencias de sobra conocidas por todos,y segundo para asegurar que los cambios en las políticas que se vayan introduciendo en este tiempo sirvan a partir de 2018, haciendo que las piezas del RGPD encajen. Aplicar criterios de prudencia y diligencia son sinónimos de madurez y fortaleza frente a los cambios.

Las empresas deberán adaptarse no sólo a una nueva norma, sino a algo más profundo: a un cambio en la forma de hacer las cosas, una modificación de procesos, de recursos y, todavía más importante, de mentalidad o de filosofía, porque el espíritu del legislador europeo en este Reglamento es ése: un cambio de concepto orientado a la cultura de la protección de datos a todos los niveles y a la responsabilidad proactiva (la famosa accountability). Un valor añadido, real y tangible, para las empresas que la asuman como piedra angular de sus negocios o procesos. Y es que el camino que queda hasta mayo de 2018 es corto y será sin lugar a dudas intenso. ¡Y no se puede dejar para el último momento!

Para esta planificación estratégica será clave contar con un adecuado profesional de la privacidad. Como siempre he dicho, los profesionales españoles estamos mejor preparados que otros compañeros europeos para asumir la nueva forma de asesoramiento que requerirá el RGPD. Sobre todo gracias, entre otras cosas, a que la norma europea bebe (en gran medida) de nuestra legislación nacional, al acervo de conocimiento adquirido gracias a la labor jurisprudencial de la Audiencia Nacional y del Tribunal Supremo en la materia, y por supuesto a la ingente actividad de la AEPD. También, no podemos obviar que llevamos años trabajando y asesorando sobre la privacy by design y by default, o de los Privacy Impact Assesments, por lo que estos nuevos conceptos forman parte de nuestro asesoramiento natural. Una correcta estrategia orientada al cambio resultará capital para lograr adecuadamente la adaptación.

Así las cosas, la calma, la prudencia y la planificación son parte de la receta de cómo abordar con entereza los retos e intensa labor a la que nos enfrentaremos durante los próximos años. Eso sí, comprendan que, como buen cocinero, ¡uno no puede desvelar de golpe todos los ingredientes!

Uno, desde la perspectiva segura y confortable que tiene el que se considera, si no anónimo, si lo suficientemente poco relevante para no ser considerado “famoso” o “notorio”, puede caer en la tentación de creer que el manido dicho “que hablen de ti, aunque sea mal” tiene parte de razón. Y tal vez así sea, pero me resulta relativamente fácil entender el grado de frustración, enojo y hartazgo (lo que toda la vida hemos llamado cabreo mayúsculo, mala leche o similar) que debe producir encontrarte un día en Amazon, eBay o la Casa del Libro, una biografía entera sobre ti. Y ahí me da igual que seas elRubius, Belén Esteban, un Jonas Brother, Pedro Duque o Arturo Pérez Reverte (aunque no sé si con este último se atreverían…).

El asunto es el siguiente: una persona se hace “célebre”, en el más amplio sentido de la palabra, por el motivo que sea (de youtuber a astronauta) y en algún momento a otra se le ocurre que escribir un libro biográfico es una buena idea, en términos económicos. Por supuesto, se hace sin autorización o intervención alguna del desinformado protagonista, que no conocerá la existencia de la obra hasta, en la mayoría de los casos, su publicación… en ocasiones con airada reacción de por medio.

Sin dar más rodeos, ¿es legal hacer biografías no autorizadas (BNA)?

La respuesta es sí, siempre que se respeten unos límites. En este asunto entran en juego derechos tanto del escritor como del “biografiado”, que tienen que ver tanto con la libertad de expresión como con la autoría, la propiedad inteletcual, la propia imagen, el honor… y que permiten publicar la obra en cuestión, o actuar contra ella legalmente, en tanto en cuanto se respeten o no.

Tanto si estas pensando en escribir una BNA, como si has sido “víctima” de una de estas obras, es importante tener en cuenta algunos aspectos, que aprovechamos hoy para resumir:

• Son NO autorizadas: Vale, ya sé que parece evidente, pero esta falta de autorización marca todo el resto de aspectos de la obra. Estar no autorizada implica que no ha habido cesión previa de ningún derecho, y como veremos esto influye, y mucho, en lo que podrá utilizarse en la BNA.

• Libres de usar lo libre: Punto dos y sigo con las cosas obvias. Únicamente podrá utilizarse contenido de terceros, y esto incluye fotografías del protagonista, letras de canciones de las que sea autor, partituras, capturas de pantalla de vídeos, marcas… en tanto en cuanto su publicación sea permitida por sus autores o por los titulares de derechos de explotación, y siempre nombrando al autor original (este es un derecho moral irrenunciable). Con ciertas excepciones, utilizar material y contenidos sin autorización habilita a los autores de estos derechos para reclamar, también judicialmente, por el uso indebido.

• Realidad, imaginación, inquina… El hecho de que sea una obra no autorizada no implica que sea ficción, y menos cuando trata de una persona real. Las falsedades, amenazas, injurias y calumnias suponen un límite infranqueable a la libertad de expresión, y permiten al afectado por ellas proteger sus derechos ante el causante (el autor) incluso desde la vía penal. Cuidado con inventar maldades sobre ese famoso que no nos cae bien…

• Escribir con antifaz: seudónimos: Es perfectamente legal escribir bajo seudónimo, y se permite tanto en registros públicos (el de la propiedad intelectual, como ejemplo) como privados o sistemas equivalentes, pero esto no implica que ese nombre inventado sea una especie de escudo que proteja al autor ante cualquier reclamación o responsabilidad. La edición y publicación, así como la venta y comercialización de obras, exigirá que, en algún momento (contratos, facturas, administración de la S.L., obligaciones fiscales … ) se identifique la persona que está detrás del nombre del autor, lo que puede permitir actuar contra ella.

• Cita, plagio e inspiración: El derecho a cita no es ilimitado, sino todo lo contrario: es difícil encajarlo fuera de ámbitos educativos o de investigación. Evidentemente, calcar textos de otros libros, transcribir audios o letras de canciones, requiere de un esfuerzo previo de análisis de riesgo legal. Los derechos de explotación de estos contenidos pueden (y suelen) estar también protegidos.

Las BNA se han convertido en un lucrativo negocio para un sector de la industria editorial que, en ocasiones, vende más cuanto mayor es la afrenta o disgusto del protagonista, en una suerte de efecto Barbra Streisand que multiplica las ventas y conocimiento de la obra cuando el famoso se queja de ella en redes sociales, TV…

En cualquier caso, y aunque el respeto a la libertad de expresión debe ser siempre una base fundamental, es importante recordar que no todo está permitido en las biografías no autorizadas, y que (ahora toca la metáfora, que ya era hora) si bien arrimarse a la hoguera de otros para conseguir algo de calor puede ser lícito, si pretendemos arrimarnos demasiado sin permiso podemos salir quemados.

Artículo publicado por Leandro Núñez en el blog de Enatic, publicado por el Consejo General de la Abogacía.

Lea el artículo completo [+]