El derecho a la protección de datos personales es un derecho fundamental relacionado con la privacidad que garantiza a la persona el control sobre sus datos. Hablando en plata, hablar de datos es hablar de control; es preguntarse quién puede saber quiénes somos, dónde vivimos, qué hacemos durante el día y durante la noche; qué gustos, convicciones, vicios, placeres, dolores tenemos, etc, etc. Es un derecho que debería ser respetado tanto por parte de organismos públicos como privados. Se ha hablado mucho de los incumplimientos por parte de Facebook y otras compañías privadas, pero en cambio, se han comentado poco los incumplimientos por parte de Administraciones públicas o las políticas y normas existentes que no se adaptan por completo al nuevo marco jurídico europeo, son una limitación al mismo o socavan la privacidad del conjunto de la ciudadanía.

De eso trata el nuevo  informe que publica Xnet: #Datos por liebre: privacidad, protección de datos y abusos institucionalizados, unas 170 páginas que quieren explicar qué nos están colando con el tema de la protección de datos y qué debemos hacer para evitarlo. 

Se compone de cinco partes de las que ahora se publican las tres primeras: 

Parte 1 - Abuso de identificación por parte de las instituciones vs minimización de datos por diseño y por defecto

Parte 2 - Derecho a grabar abusos y políticas de protección de datos

Parte 3 - La desprotección de la libertad de informativa en la Ley Orgánica de protección de datos

Parte 4 – Abusos en el ámbito electoral (futura entrega)

Parte 5 – Abusos en el ámbito laboral (futura entrega)

El Reglamento Europeo de Protección de Datos (conocido por las siglas RGPD) entrado en vigor en 2018 y que todos recordamos por los infinitos mensajes de consentimiento que comenzamos a recibir entonces, ha sido en realidad el resultado de más de una década de lucha de la sociedad civil organizada para que se garanticen los derechos a la privacidad de las personas y se actualicen al entorno digital. La más beligerante ha sido la sociedad civil alemana que sabe lo que significa que los poderes establecidos tengan todos tus datos; sufrió a mano de la Stasi una operación de vigilancia y recolección de datos personales jamás conocida en época predigital.

La más beligerante ha sido la sociedad civil alemana que sabe lo que significa que los poderes establecidos tengan todos tus datos

En el informe se habla de los problemas, pero también se aportan las soluciones en forma de 80 páginas de enmiendas a las legislaciones actuales para que no se nos pueda decir que “esto es complicado” o “que hay que hacer mucho trabajo”. El trabajo ya está hecho, listo para su aplicación.

Por lo que es de la acción de la ciudadanía, sin la cual, ya lo sabemos, lo anterior no se conseguiría jamás, el informe ofrece tres hilos conductores fundamentales utilizando el RGDP como palanca:

– El primero es una fuerza que nos da el RGPD. Es el principio de minimización. Nadie nos debe pedir o sonsacar más datos de los necesarios. Debemos saber que podemos ampararnos con fuerza en este principio. A día de hoy pedir a qué hora abre un ventanilla o llamar a una empresa de suministros para saber las tarifas requiere que te identifiques, por no hablar de cuando se pide información más compleja para destapar abusos o injusticias. Esto tiene que acabar.

– El segundo hilo conductor es una debilidad del RGPD. Permite que se nos pidan todo tipo de datos personales alegando “intereses legítimos”. Los países como el nuestro que no han definido cuáles son dichos “intereses legítimos”, abren la puerta a todo tipo de arbitrariedades y abusos. Esta fórmula se utiliza cuando no se dispone de base jurídica sólida o suficientemente justificada. Por respeto a los derechos, libertades e intereses de las personas no debería ser posible escudarse en extremos que sirven de cajón de sastre y que acaban invalidando el espíritu de la normativa. Los “intereses legítimos” que considere esta o aquella empresa o institución, no deben primar por encima de los derechos e intereses de las personas. Xnet quiere que se garantice el principio de privacidad por diseño y por defecto. 

– Por último pide, como ya hizo en ocasiones anteriores, que la protección de datos no pueda ser excusa para limitar el derecho a la información y la lucha contra la corrupción y los abusos: desde los discos duros del PP destruidos alegando protección de datos, a la hoja de servicio de Billy el Niño donde se votó en contra de su publicación por razones de protección de los mismos , pasando por las cuentas de los partidos que el Tribunal de Cuentas no publica “debido a protección de datos”, nos encontramos esta “motivación” una y otra vez. 

Bajo el lema “Transparencia para las instituciones; privacidad para las personas” Xnet explica cómo se pide mucho a los segundos y se exige poco a los primeros y que se ha de hacer para revertir esta situación. 

Aquí pues, las primeras tres entregas que se publican hoy:

Parte 1 - Abuso de identificación por parte de las instituciones vs minimización de datos por diseño y por defecto

En España existe una tendencia abusiva a pedir más datos de los necesarios cuando alguien lleva a cabo una simple petición a cualquier institución, algo que la aprobación en 2015 de la Ley de Procedimiento Administrativo e incluso la Ley de Transparencia agravan al establecer la verificación de la identidad de las y los interesados como obligatoria. Esto se debe a que, por defecto, toda relación entre ciudadanía y administración se considera “trámite administrativo”, y eso incluye pedir información que por ley debería ser pública. Bien, por qué no. Si no fuera que “trámite administrativo” todavía significa poder, subordinación y jerarquía.

El motivo no está en la lógica y menos en la lógica ágil de la era digital; tampoco en una idea de democracia actualizada donde es la sociedad civil que debe poder vigilar sus instituciones y no al revés. 

El motivo son las antiguas costumbres del poder que se protege a si mismo y que debemos desmantelar.  

Así Xnet denuncia que nuestras leyes administrativas colisionan con el principio básico de una Ley superior: el principio de minimización del Reglamento Europeo de Protección de Datos que establece que sólo deben recogerse los datos adecuados, pertinentes y no excesivos de acuerdo con los fines para los que son recogidos, y que se ha de explicar qué datos se recogen y por qué. Así que estas leyes se han de cambiar.

Se debe proteger al débil y controlar al fuerte ya que existe una clara asimetría entre los poderes establecidos, que nos pueden vigilar, y la ciudadanía de a pie que debe luchar y exponerse para acceder a información que debería ser suya por democracia (además de porque la pagamos entre todxs). 

Parte de la lucha para una democracia real es la de acabar con esta asimetría. O sea: conquistar el acceso libre y sin amenazas a la información, sin el cual no podemos vigilar y decidir ni luchar contra la corrupción y los abusos, y ponerlo en equilibrio con el derecho a la privacidad, desenmascarando falsas ambigüedades.

Parte 2 - Derecho a grabar abusos y políticas de protección de datos

Y aquí la otra cara de la moneda. Si por un lado se nos piden muchos datos, por el otro a los poderes establecidos les cuesta mucho soltar los suyos.

Otro clásico. Apelar a la protección de datos para sancionar el uso de información como las grabaciones de funcionarios cometiendo excesos (policías, por ejemplo). Entre 2016 y 2018 se impusieron 113 sanciones que supusieron un total de 70.522 euros contra los afectados hasta el punto de que en octubre del 2018 el Ministerio del Interior tuvo que emitir una instrucción en la que detallaba que sólo se incurriría en una sanción si la difusión de imágenes podía llegar a conllevar un riesgo para los agentes, la familia y las instalaciones de las fuerzas de seguridad. Este marco normativo ha ejercido un poderoso efecto disuasorio para la denuncia de abusos sistémicos. 

El obstáculo más monolítico para grabar abusos institucionales o sistémicos no es la Ley mordaza (que también) sino la jurisprudencia de la ley de protección de datos

Contrariamente a lo que se cree, el obstáculo más monolítico para grabar abusos institucionales o sistémicos no es la Ley mordaza (que también) sino la jurisprudencia de la ley de protección de datos. 

Pero atención, que el diablo está en los detalles: desde XNet se valora positivamente todo avance hacia agilizar las denuncias de personas víctimas de la difusión de contenido de carácter privado sin su consentimiento. Xnet apoya la campaña #PuedesPararlo de la Agencia Española de Protección de Datos que fortalece la interpretación de su homólogo europeo al no aplicar la excepción de uso doméstico en estos casos cuando hay viralización (o sea, la información circula de forma que trasciende el ámbito doméstico). 

Dicho esto, el detalle importante: es  necesario diferenciar estos casos de los en los cuales las grabaciones de las personas se hayan captado en su desempeño de un servicio al publico, en lugar público o en actos públicos. En ningún caso podemos equiparar esta situación a la violación de la intimidad. Se ha de recalcar con énfasis que es muy pernicioso para cualquier democracia que se precie utilizar el primer caso – el de vulneración de derechos en la difusión de información íntima – para impedir lo segundo – la libertad de información en el interés público para divulgar abusos.

Parte 3 - La desprotección de la libertad de informativa en la Ley Orgánica de protección de datos

Por todo ello es imprescindible por parte del legislador la correcta transposición del artículo 85 del RGPD que exige la armonización de la privacidad con la libertad de información.

Cuando en 2018 se traspuso el reglamento europeo a la LOPD española, XNet intentó sin éxito que se llevara a cabo. La negativa recibida por parte del legislador fue que “esto lo resuelven los tribunales”. Los periodistas saben bien que no son pocas las veces que aquellos perjudicados por sus investigaciones pleitean para desgastar a sus empresas, aunque el caso acabe sobreseyéndose. Ante una querella, un medio se ve obligado a movilizar recursos para defenderse: y eso compromete la investigación periodística, algo de lo que no vamos precisamente sobrados. Peor todavía la situación de la o el alertador, persona corriente que desvela un abuso.

La aproximación de “esto lo resuelven los tribunales” es una aproximación peligrosa y elitista ya que implica que la defensa de la libertad de expresión e información es garantizada solo para quién pueda permitirse pleitear. Preferimos que se establezcan criterios claros para que todo el mundo pueda ejercer sus derechos con seguridad y sin temor a ser sancionado. 

La protección de datos es demasiadas veces un pretexto para invalidar pruebas. Aparte de los ejemplos patrios anteriormente mencionados,  el agravio democrático de no trasponer la defensa de la libertad de información en ámbito de la protección de datos se ha hecho de manifiesto en toda su envergadura en la UE en Rumanía donde periodistas que investigaban corrupción gubernamental han sido sancionados con 20 millones de euros por la ley de protección de datos (los datos de los presuntos corruptos). Es por todo esto que la Association for Technology and Internet (ApTI), Privacy International y Xnet entre otras organizaciones europeas de defensa de derechos digitales presentaron una queja ante la Comisión Europea hace un año. En aquella ocasión el portavoz de la Comisión Europea, Margaitis Schinas dijo:  “Es sumamente importante que las autoridades de Rumanía implementen esta obligación [art.85] en el derecho nacional para (…)  proteger las fuentes periodísticas (…) cuando sea necesario para respetar la libertad de información y expresión de los medios. (…) La protección de datos no puede utilizarse como una puerta trasera para forzar a los periodistas (…). 

Una pena que la queja, un año después, todavía esté a la espera de respuesta.

Entregas 4 y 5 

Xnet se ha guardado las últimas dos partes de su informes para publicarlas en próximas entregas. La primera hablará sobre abusos de los datos en ámbito electoral porque, aparte de los ya conocidos y notorios de la publicidad electoral que recibimos a casa, hay otros. La siguiente nos transportará al mágico e inagotable mundo de los abusos a los trabajadores. Váyanse preparando.