¿Quién no conoce a estas alturas, siquiera por el bombardeo que sufrimos en el correo electrónico o postal o en los dispositivos telefónicos, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)?
El GDPR (The EU General Data Protection Regulation) o RGPD es, en efecto, la nueva norma a nivel europeo que regula el tratamiento de datos personales de los ciudadanos por parte de empresas y de autoridades u organismos públicos, así como su libre circulación. Es un reglamento que, como su denominación indica, sustituye a una Directiva treintañera, de cuando las redes sociales eran fenómenos desconocidos por la ciudadanía y para qué hablar del «big data«. Este reglamento, a expensas de modificaciones legales de expresa trasposición, que llevarán tiempo, es ya, como todos sabemos y padecemos, de aplicación directa en las legislaciones propias de los Estados miembros. desde el pasado 25 de mayo.
Como abundantemente se ha escrito, también en este blog, el eje de la regulación radica en el consentimiento. Para tener y tratar los datos de una persona se debe obtener su autorización expresa; nunca indiciaria ni tácita. Consentimiento libre, indubitado y derivado de una previa información individual y no grupal, debidamente acreditada en su recepción por el afectado: al instar los datos personales, debe quedarle claro al destinatario de manera sencilla e inteligible con qué fines se van a usar (o seguir usando), durante cuánto tiempo y, a efectos de mínima garantía y comunicación, quién será el responsable del tratamiento. Ante este requerimiento, la persona compelida debe decidir si aceptar; siempre de forma clara y nunca presunta; cualquier interpretación “deductiva”, carecerá de valor. El Reglamento también exige consentimientos separados para fines heterogéneos, aunque los demande el mismo operador, proveedor o entidad. En fin, la norma europea aborda el concepto –como base de excepción- del interés vital o público; el del hasta ahora llamado Derecho al olvido; la portabilidad de datos, que permite a una persona pedir, recibir y transferir directamente sus datos automatizados de una entidad a otra o las limitaciones en materia de consentimiento a los menores de 16 años –edad rebajable, en lo que es un fracaso de la armonización europea y España las ha dejado en los 14-, en el caso de los «servicios de la sociedad de la información», caso paradigmático de Internet.
Todo esto y mucho más es perfectamente conocido. Y también lo es –de ser un caso subjetivo nunca lo comentaría aquí- que, como tantas veces ocurre, al hilo de una normativa garantista, se abren innumerables fugas de agua por la que se cuelan los intrusos porque, como ocurre desde tiempos milenarios, el delusor es siempre más espabilado que el legislador. Y el tráfico de datos, seguro que nunca benéfico, es tremendo. Cuanto más se habla de confidencialidad, de sigilo, de protección de datos sensibles, menos se respetan éstos. Y en aras del “big data”, ¿qué no nos esperará en los temas más íntimos? Pongo sólo algunos ejemplos por los que estoy pasando de cinco meses a esta parte y que, como he resaltado, son de amplia apreciación por la sociedad. ¿Por qué me manda un “mail” de consentimiento de datos una compañía de seguros con la que jamás he trabajado, ni en solitario ni fusionada o absorbida? ¿Por qué me hace lo propio un operador telefónico, que lo sabe todo de mí –como cuanto te acribillan a ofertas telefónicas- si sólo lo conozco de los anuncios en televisión? ¿Por qué, en fin, un suministrador de energía que ni una vela me ha encendido, me envía otro correo electrónico o una carta a mi vivienda –con NIF incluido-, aportando una comparativa de lo que pago y lo que dejaría de abonar de caer en sus brazos?
Sólo estoy esperando a que un laboratorio o empresa farmacéutica me recomiende su hipertensivo en detrimento del que vengo tomando desde hace años. Y termino: las garantías sólo se alcanzan, no ya con profusión de normas, órganos, portales y demás, sino con una tutela inmediata y ejemplarizante de la que, honrosas excepciones al margen, los ciudadanos de a pie –los famosos usuarios y consumidores- aún estamos tan distantes como escépticos.
