Menu
Blog de la Fundación para la Investigación sobre el Derecho y la Empresa




Mientras florecían los cerezos
En el momento de escribir esta crónica sobre mis impresiones del International Privacy + Security Forum (IPSF) que tuvo lugar en Washington D.C. en pleno “cherry blossom” los pasados días 4 y 5 de abril de 2019, concluye en esa misma ciudad el Global Privacy Summit organizado por la influyente IAPP que reúne a casi cuatro mil profesionales de la privacidad evidenciando que el D.C. es -junto con Bruselas- la capital del mundo en materia de privacidad pese a que Estados Unidos continué sin contar con una ley federal sobre la materia.
Los organizadores del IPSF, los veteranos “evangelistas” de la privacidad en Estados Unidos, Daniel J. Solove de la George Washington University -donde tuvo lugar el Fórum- y Paul M. Schwarz del Berkeley Center of Law and Technology nos encomendaron a Laura Juanes, leader de privacidad en Facebook y a mí mismo, la organización de los dos paneles sobre privacidad Latinoamérica y esta crónica se centrará en lo discutido en esos paneles y las sesiones que más me estimularon del Fórum siendo, por tanto, una crónica personal y no un exhaustivo informe de todo lo allí discutido.
 
PRIVACIDAD EN LATINOAMERICA
 
¿Hacia dónde va la región?
 
Tras recordar que la región -si se incluye el Caribe y los países de Centroamérica- está compuesta por más de una veintena de jurisdicciones en ocasiones muy distintas entre sí, Laura Juanes, director global de Privacy Policy Engagement repasó las normas de privacidad ya existentes en la mayoría de los países “leyes de primera generación” -en las que tuvieron bastante influencia las hoy derogadas LORTAD y LOPD españolas que no habían traspuesto correctamente del todo la también hoy derogada Directiva de protección de datos- al no incluir por ejemplo el interés legítimo como base legitimadora del tratamiento-, las leyes de “segunda generación” -con gran influencia del RGPD- actualmente en discusión (caso de Argentina) y, por último, las iniciativas legislativas que actualmente siguen varios países (notablemente Chile) sin olvidar la gran importancia que puede tener en la región la futura ley brasileña por el gran peso demográfico y económico de Brasil.
Los panelistas resaltaron que la Red Iberoamericana de Protección de Datos, que cuenta con más de quince años de historia ya, es el foro regional de autoridades y sus Estándares de Protección de Datos para los Estados Iberoamericanos se han consolidado como el eje -o en la terminología jurídica europea- la especie de “directiva” para la cooperación efectiva relacionada con la protección de datos personales y privacidad regional. No obstante, el panel constató que los mecanismos de cooperación y coherencia existentes en la región están lejos de poder ser equiparados con los creados por el modelo europeo debido al distinto marco jurídico e institucional que existe entre los Estados Miembros de la Unión Europea y los países de la región iberoamericana.
Asimismo, debido a la gran influencia económica que -por ejemplo, en economías como la mexicana- tiene EEUU los panelistas también coincidieron en que si bien la adecuación con la Unión Europea (que hoy por hoy sólo reconoce a Argentina y Uruguay como países con un régimen adecuado equivalente al europeo) es un importante objetivo político no hay que perder perspectiva de las influencias económicas y políticas de la región. Así, Isabel Davara (reconocida abogada de privacidad en México) recordó que si bien México sigue dando pasos firmes para obtener la adecuación con la Unión Europea -como constata su reciente ratificación del Convenio 108- es un líder regional con criterios y autonomía propia. La abogada subrayó como en el futuro Tratado entre México, Estados Unidos Canadá (T-MEC) -USMCA en sus siglas in inglés- que sustituirá al NAFTA incide en la importancia del respeto a la protección de datos en el comercio digital haciendo referencias expresa a los principios de la OCDE y de APEC CBPR que, como también subrayó José Alejandro Bermúdez Durana (ex Superintendente de Protección de Datos en Colombia y abogado en Colombia), están también consolidándose como un importante estándar regional.
Por ello y pese a ser evidente la gran influencia que el RGPD está ejerciendo en todo el mundo -muchos lo califican ya del estándar global en materia de privacidad- los panelistas coincidieron en que si bien el enfoque existente hacia problemas globales (por ejemplo las brechas de seguridad) tiende a emular las soluciones de notificación del RGPD, cada país es distinto y es imprescindible tener en cuenta el contexto local a la hora de adentrarse en la región que, a efectos regulatorios, se mueve entre distintas influencias y está entrando en la elaboración de sus leyes de “segunda generación” que, esperemos, asuman lo mejor de cada modelo regulatorio y aprendan de los errores sufridos.
 
Brasil: el gigante despierta al mundo de la privacidad
 
Nada mejor que el considerado como “padre de la ley”, Danilo Doneda (profesor de la Universidad de Rio de Janeiro) y André Giaccheta (prestigioso abogado del despacho Pinheiro Neto) para desgranar, con la aguda y pragmática moderación de Laura Juanes un panel que comenzó con una impactante afirmación que no conviene olvidar y es que, si la ley brasileña entra finalmente en vigor en el verano de 2020 -fecha en la que concluirá su extendida vacatio legis-, Brasil se convertirá -con sus casi 210 millones de habitantes- en el mayor país del mundo con ley general de protección de datos.
 
Ahora bien, al tortuoso proceso de elaboración que tuvo la promulgación de la Ley, sus vetos por el Presidente y las complejidades presentes en el marco jurídico brasileño debido a la existencia de varias leyes que regulan esta materia como el Marco Civil de Internet (Ley Nº 12.965/14), su decreto reglamentario (Decreto Nº 8.771/16) y la Ley de Acceso a la Información (Ley Nº 12.527/11) que -como se evidenció en el panel- plantean contradicciones entre las distintas normas, existe todavía un obstáculo previo que se resolverá en fechas muy próximas (junio de 2019) y es si la ley será convalidada o no por el nuevo Congreso.
 
Confiando en que dicha convalidación tenga lugar, los panelistas desgranaron las claves de la Ley, en la que el RGPD ha tenido gran influencia y coincidieron en que para que Brasil tenga el papel de liderazgo que corresponde y alcance la adecuación con la Unión Europea será crítico que su futura autoridad de protección de datos Autoridade Nacional de Proteção de Dados o ANPD se configure como un supervisor realmente independiente en el que, si me puedo permitir la sugerencia, ojalá veamos a Danilo Doneda como primer director.
 
DE IRLANDA, HELEN DIXON Y EL CHERRY ON THE CAKE EN LA SEMANA DE LOS CEREZOS EN FLOR
 
El discurso magistral de la primera sesión plenaria corrió a cargo de la directora de la autoridad irlandesa de protección de datos, Helen Dixon, que en la semana del impresionante espectáculo natural del florecimiento de los cerezos de Washington D.C. (“cherry blossom”) fue el “cherry on the cake” de la conferencia.
 
Conviene recordar que Irlanda ha pasado de ser uno de los países que, infaustamente, formaban parte de los PIIGS (Portugal-Irlanda-Italia- Grecia-España) y que más afectado estuvo por la crisis financiera para pasar a ser un atractivo destino para las multinacionales tecnológicas americanas que han ubicado allí sus sedes europeas. Su atractivo régimen fiscal, su población bien educada y angloparlante y el Brexit son algunos de los ingredientes del éxito conseguido en el que, su pragmático -que no laxo- régimen de supervisión ha jugado un importante papel.
 
Helen Dixon desgranó la estrategia del Data Protection Commission que dirige que cuenta con el apoyo del gobierno irlandés para seguir aumentando la plantilla de su oficina de 130 a 170 empleados este año. Irlanda es muy consciente de la importancia que ha tomado su autoridad de protección de datos, que es ya uno de las principales autoridades de control europeas, al contar entre sus supervisadas a las grandes tecnológicas americanas como Facebook (Whatsapp-Instagram), Microsoft-Linkedin, Apple, Twitter, etc. Dixon que afirmó que está determinada a utilizar sus potestades sancionadoras cuanto sea necesario, si bien no tuvo reparos en reconocer los esfuerzos que realizan esas empresas y las innovaciones que están realizando para dotar de mayor control a los ciudadanos sobre sus datos y resaltó lo mucho que se puede obtener de la colaboración público-privada en los objetivos comunes a los que se enfrenta la sociedad.
 
Frente a los planteamientos maniqueos a los que estamos acostumbrados en otras latitudes del sur de Europa, el discurso de Helen Dixon y el “business case” o “proyecto país” por el que ha optado a Irlanda con su régimen fiscal y regulatorio son un ejemplo de atracción de talento e inversión tecnológica a seguir muy de cerca.
 
EL COMITÉ EUROPEO DE PROTECCIÓN DE DATOS: PRIMERAS IMPRESIONES
 
Anna Zawila-Niedzwiecka, del departamento legal del nuevo Comité Europeo de Protección de Datos explicó a la audiencia americana las diferencias entre el antiguo Grupo de Trabajo del artículo 29 de la Directiva y el nuevo Comité que, si algo quedó claro, cuenta -de momento- con poco personal y una apretadísima agenda de reuniones en Bruselas de las distintas autoridades supervisoras nacionales.
 
En la sesión plenaria que el Comité Europeo de Protección de Datos y la Federal Trade Comisssion americana se evidenció un buen entendimiento entre los responsables de los reguladores de ambos lados del Atlántico y de los esfuerzos porque el Privacy Shield se consolide en un mecanismo adecuado pese a que si me puedo permitir- se es consciente que algunos supuestos “activistas” de la privacidad -o más bien de su propio ego- no cejarán en tratar de impedirlo.
 
El Comité -como la Comisión Europea- expresó su voluntad de que el RGPD termine con las disparidades nacionales de la Directiva y su compromiso para que el mecanismo de cooperación y coherencia funcione. Si no es así nuestra opinión es que entonces será el Tribunal de Justicia en Luxemburgo quien tenga que realizar esa labor y sería deseable que el RGPD se pueda ejecutar de forma homogénea en todos los Estados Miembros sin tener que involucrar a Luxemburgo cada vez que se produzcan discrepancias.
 
ROL DE LOS PROVEEDORES DE SOLUCIONES DE CUMPLIMIENTO DEL RGPD
 
El RGPD ha dado lugar a una auténtica explosión de proveedores de soluciones de “compliance” para dar cumplimiento con el RGPD. En este panel Ari Ezra Waldman de la Universidad de Nueva York compartió con la audiencia el estudio realizado sobre esos “vendors” y compartió panel con representantes de la filial de IBM (Promontory) y como representantes de los “vendors” BigID y Anonos.
 
El panel dejó claro que la contratación de estas soluciones no debe ser percibida como la contratación de un seguro que elimine todos los riesgos de cumplimiento con el RGPD. Ahora bien, se coincidió en que estas soluciones ayudan a reforzar las medidas de responsabilidad activa exigidas por el RGPD.
 
Pese al alcance extraterritorial del RGPD y el impacto que está tiendo en Estados Unidos es llamativo como estos “vendors” son más populares en el mercado americano que en el territorio de aplicación por excelencia del RGPD que es Europa donde las compañías siguen confiando más en abogados y consultoras para apoyarse en el cumplimiento normativo que en soluciones tecnológicas ofrecidas por estos proveedores de soluciones. Ahora bien, el imparable crecimiento de la industria “legal tech” y la expansión a Europa de estos “vendors” augura irá en aumento y su éxito dependerá de cómo valoren los reguladores el hecho de contar con estas soluciones implantadas o no cuando llegue la hora de iniciar un procedimiento sancionador.
 
PROYECTO SOBRE IDENTIDAD DIGITAL, PRIVACIDAD Y DESARROLLO ECONÓMICO DEL BANCO MUNDIAL
 
El último panel del Fórum como en el episodio bíblico hizo que el mejor vino llegase al final ya que el Banco Mundial, de la mano de la española Fredes Montes presentó su proyecto Identification for Development ID4D junto con el abogado Roy MacMillan y el profesor de la universidad de San José (California) Mike Jerbic.
 
La iniciativa ID4D pretende ayudar a los países a ser conscientes del potencial transformador que tiene la implantación de sistemas de identificación digital. Y es que, como es sabido, existen todavía en el mundo un millón de millones de personas sin identificación lo que las excluye de protección social, acceso a los sistemas de salud, servicios financieros, derechos políticos y otros tipos de servicios llevándolos a ser objeto de discriminación, y exclusión social. La identidad digital podría facilitar el acceso a servicios a un gran número de personas, sin embargo, esta forma de identidad no está exenta de riesgos ni de retos para su adopción.
 
El panel despertó mucha interacción entre los asistentes ya que, incluso en economías desarrolladas la identificación digital (digital identity) está siendo un gran reto debido a la falta de acuerdo respecto a la gestión de la identidad por parte de proveedores privados o la ausencia de interconexión entre los distintos proveedores de identidad. Retos que de alguna manera el Reglamento europeo e-IDAs pretende solucionar.
 
CONCLUSIÓN
 
Mientras florecían los cerezos de Washington D.C. cientos de profesionales de la privacidad se enclaustraron entre las paredes de la George Washington University para tratar de vislumbrar el rumbo que debe tomar la privacidad y seguridad de la información en los tiempos que nos ha tocado vivir.
El “cherry blossom” o festival nacional de los cerezos en flor, es una celebración anual que tiene lugar todas las primaveras en Washington D. C. en conmemoración del regalo que hizo el alcalde de Tokio, Yukio Ozaki de tres mil (3.000) cerezos japoneses el 27 de marzo de 1912. El alcalde Ozaki donó estos árboles en un esfuerzo para incrementar la creciente amistad entre Estados Unidos y Japón y también para celebrar la estrecha relación entre ambos pueblos.
No sé si el RGPD puede verse como el regalo que Europa hizo al mundo, pero esperemos que en la próxima cita anual del IPSF, países como Brasil que han optado por alinear sus futuras legislaciones con la norma europea puedan contarnos si ese árbol procedente de latitudes mucho más frías cuajó y floreció y que podamos admirar sus flores.
 
Este artículo ha sido inicialmente publicado en el boletín de LA LEY Privacidad.
 
© 2019. Javier Fernández-Samaniego
javier.samaniego@samaniegolaw.com



Jueves, 13 de Junio 2019
Javier Fernández-Samaniego
Javier Fernández-Samaniego
Ardiel Martinez
Socio Director de Samaniego Law. Abogado y especialista en asesoramiento contractual y contencioso de proveedores y clientes de Tecnologías de la Información. Fue uno de los abogados pioneros en España en el asesoramiento en materia de protección de datos de carácter personal. Asesora a empresas nacionales y multinacionales en contratos de outsourcing, nuevos modelos de negocio vertebrados en tecnologías disruptivas y en la prevención y resolución de conflictos que involucran cuestiones tecnológicas complejas. Cuenta con estrechos vínculos en Estados Unidos y Latino América. Es árbitro de la sección especializada en TIC de la Corte de la Cámara de Comercio de Madrid y asociado del Club Español de Arbitraje. Es mediador acreditado por CEDR de Londres y forma parte del Panel de Distinguidos “Neutrales” de CPR en Nueva York. Abrió la oficina de Madrid de Bird & Bird en 2005 y anteriormente colaboró profesionalmente con los despachos Linklaters y Cuatrecasas. Comenzó su carrera como abogado en el ente público CDTI (Centro para el Desarrollo Tecnológico Industrial). Miembro del Consejo Académico de FIDE. Senior Fellow del Steven J Green School of International and Public Affairs (FIU - Florida International University).