Inicio / Entrevistas / AEPD: Google aprovecha todos los resquicios para eludir responsabilidades

AEPD: Google aprovecha todos los resquicios para eludir responsabilidades

El director de la Agencia Española de Protección de Datos, José Luis Rodríguez. EFE/Paco Campos
Rodríguez ha repasado con EFEfuturo los diferentes retos que afrontan las autoridades de datos en la era de la transnacionalidad de los flujos de datos.

La crítica a la actuación de Google y el futuro reglamento europeo de protección de datos son los dos temas principales sobre los que incide en la conversación.

 Pregunta.¿Qué retos plantea la transnacionalidad de la red para una autoridad de protección de datos de carácter nacional?

Enormes. Cada vez hay más actores de carácter supranacional o incluso global y las autoridades nacionales tenemos competencia sólo en nuestra jurisdicción. Eso obliga a imponer la exigencia de cumplimiento frente a compañías que pretenden actuar globalmente y en muchos casos aprovechar esa actuación global para eludir las responsabilidades, no rendir cuentas en ningún sitio. Y para ser eficaces en ese contexto tenemos que proceder cada vez más de una forma coordinada. En Europa lo estamos haciendo cada vez más: actuar coordinadamente las agencias de los distintos estados para poder afrontar con más eficacia estos retos que a nivel estatal son difíciles de resolver.

P.¿Esa cada vez mayor coordinación entre los agentes europeos ha sido planeada o ha surgido sobre la marcha? ¿Se ha promovido desde Bruselas? 

De alguna manera viene exigida por la naturaleza de los retos a los que nos enfrentamos y  por las características de los actores. Y también por la necesidad de que en todos los estados de la UE se traten las cuestiones que afectan a los ciudadanos de una manera más o menos uniforme, armonizada, que no se den respuestas distintas en los estados… Y esto es lo que nos ha movido, sin que todavía existan -está previsto en el nuevo reglamento- los procedimientos específicos de coordinación, ya las autoridades de los distintos países nos estamos coordinando, realizando actuaciones conjuntas, cada una lógicamente en su territorio pero coordinando los criterios, las valoraciones y los juicios que se hacen. En los informes, en las opiniones, en los dictámenes sobre cómo proteger mejor los datos personales de los europeos. También intercambiamos mucha información para ser más eficaces.

P.¿Cada vez les resulta más difícil hacer su trabajo sin ese reglamento europeo?

Necesitamos la nueva normativa porque necesitamos actualizar unas normas que son del año 95. Del año 95 a hoy la realidad sobre la que se proyectan esas normas ha cambiado radicalmente, por lo tanto es necesario actualizarlas y reforzar los derechos y las garantías de los ciudadanos y también los poderes de las autoridades. Pero también hay que tener presente que los principios que están en esas normas siguen siendo válidos, es decir, no hace falta introducir un cambio radical. Los principios que se diseñaron a principios de los 90 para proteger la privacidad de las personas, para proteger los datos personales, siguen siendo válidos hoy. Y de hecho, el reglamento lo que hace es actualizarlos, tener en cuenta los cambios que se han producido e introducir los ajustes que son necesarios para proyectarlos sobre esta nueva realidad, pero no supone un cambio de planteamiento.

P.¿Cuáles son los cambios que previsiblemente introducirá ese nuevo reglamento y que son más necesarios a la hora de hacer valer los derechos de los ciudadanos en materia de protección de datos?

Aparte de reforzar algunos aspectos de los derechos de los ciudadanos, para mí hay dos cambios -algunos son parciales- que son muy relevantes, lo más importante para reforzar la eficacia de la protección de los datos en Europa: uno es que deja muy claro que la normativa de la UE es aplicable no sólo a las empresas que tratan datos en el territorio de la UE, que tengan establecimientos y traten los datos aquí, sino también y este es el énfasis importante, aquellas empresas que aun no teniendo un establecimiento en la UE o no tratando los datos en la UE, tratan datos de europeos para ofrecer bienes y servicios en Europa. Tanto unas como otras estarán sometidas a las mismas reglas, por lo tanto tendremos una misma normativa, unas mismas reglas de juego tanto para las empresas europeas como para las empresas no europeas que actúan en Europa.

Esto es algo que por parte de algunas empresas se viene discutiendo en relación con la normativa actual y  ha dado lugar a algunos procesos y de pleitos, probablemente el más conocido de ellos es el que derivó de la resistencia de la empresa Google a someterse a la normativa europea, y se trabó en torno al derecho al olvido y tuvo que llegar  al Tribunal de Justicia de la UE. Con toda rotundidad en este caso está sujeta a la normativa europea. Pero es una cuestión que continuamente está dando lugar a conflictos, está siendo discutida por algunas compañías y  eso genera desprotección para los ciudadanos porque mientras estas cuestiones se están discutiendo en los tribunales los ciudadanos no reciben la protección que demandan.

En el caso de Google ha estado negando la protección durante más de cinco años y los ciudadanos sufriendo las consecuencias. Hasta que al final ya, llegando a la última instancia en Europa, el Tribunal de Justicia se ha pronunciado.
En el nuevo reglamento queda muy claro que esa normativa europea se aplica tanto a las empresas europeas como a las empresas que actúan en Europa aunque sean de fuera tratando datos de europeos. Ese es el primer avance fundamental.

El segundo, para mí, es que configura la necesidad de que todas las autoridades de protección de datos en todos los estados tengan las mismas competencias, las mismas potestades, y todas tengan capacidad de investigar y de sancionar. Con ello, se va a reforzar mucho la armonía o la homogeneidad en la protección en todos los estados de la UE y se pone fin a una situación que hay actualmente de cierto desajuste entre unos estados y otros que no deriva tanto de que la normativa sea distinta: las normativas nacionales ahora mismo se basan en una directiva, la directiva tiene que ser traspuesta y se han generado unas diferencias pero la principal divergencia es fáctica y deriva del hecho de que hay autoridades de protección de datos que tienen muy pocas potestades y por lo tanto no tienen la capacidad de imponer el cumplimiento de la normativa. Y estas diferencias están siendo también utilizadas por algunas compañías para localizarse en estados donde las autoridades de protección de datos son más débiles y esto se va a corregir con el reglamento. Todas las autoridades tendrán las mismas potestades, tendrán las mismas competencias, tendrán el mismo poder de investigación y de sanción, con lo cual se va a igualar la capacidad de exigir el cumplimiento porque ahora, insisto, no tenemos tantas diferencias en la normativa como en la capacidad de exigir el cumplimiento. Unos países tenemos más capacidad de exigir el cumplimiento porque tenemos unas autoridades más fuertes y otros países tienen menos capacidad porque las autoridades son más débiles en el sentido de que no tienen estas potestades, no pueden investigar o no pueden sancionar.

P.Hace unas semanas, el ex supervisor europeo adjunto de Protección de Datos y aspirante a convertirse en supervisor europeo, Giovanni Buttarelli, pronosticó que, como pronto, no entrará en vigor el reglamento europeo hasta 2018 por la dificultad de su tramitación. ¿Tan difícil es la tramitación de este reglamento?

Está resultando compleja, está yendo demasiado lento. Está resultando compleja porque los asuntos que se regulan son complejos, porque tiene impacto también en otros ámbitos, en otros sectores, pero también porque se están produciendo resistencias muy fuertes por parte de las grandes corporaciones internacionales que son probablemente las más afectadas, en la medida en que cuando entre en vigor tendrán que jugar con las mismas reglas de juego que las empresas europeas y ahora mismo las grandes corporaciones internacionales tienen una posición de cierta ventaja o intentan aprovechar esa cierta posición de ventaja frente a las empresas europeas en la medida en que se resisten por todos los medios, y son muchos los que tienen, a someterse a la legislación europea.

El nuevo reglamento deja muy claro, como decía antes, que tanto las que tienen la sede en Europa como las que actúan desde fuera de Europa, siempre que traten datos de europeos y siempre que actúen en Europa prestando bienes o servicios tienen que someterse a las mismas normas y esto, como se puede imaginar, está originando una fuerte resistencia y está complicando mucho la tramitación.

De hecho, en Bruselas se dice que no se conoce en ningún proyecto normativo previo una actividad de ‘lobbies’ tan intensa como la que está teniendo este proyecto. En el Parlamento se han presentado, muchas de ellas copiando literalmente las propuestas de los ‘lobbies’, más de 4.000 enmiendas. Esto da un poco la medida del valor que tienen los datos en primer lugar y la importancia que le están dando las empresas que tienen un modelo de negocio basado en obtener rendimiento de los datos personales, que son modelos de negocio que obtienen grandes cantidades de beneficios. Lo cual puede ser perfectamente lícito si se respetan las normas y se adoptan todas las garantías que exige la legislación, pero por la propia naturaleza de los datos personales, es una materia muy sensible, por lo tanto debían de extremarse las cautelas y lo que se pretende por parte de algunas de estas grandes compañías es actuar, en la medida de lo posible, sin sujeción a trabas o limitaciones jurídicas y sin asumir responsabilidades, sin rendir cuentas en ningún sitio, y esto no va a ser posible con el nuevo reglamento.

P. ¿Y esas divergencias se traducen también en distintas sensibilidades dentro de países de la UE ?

No necesariamente, yo creo que en Europa tenemos una cultura común de derecho a la protección de la esfera privada, no sólo a la protección de los datos personales: derecho a la intimidad, el honor, la propia imagen. El derecho a la protección de los datos personales forma parte de estos derechos, que es una cultura que está muy arraigada en Europa y de hecho lo que nos diferencia de otras regiones del mundo es que precisamente en Europa están reconocidos como derechos, y no sólo como derechos, sino como derechos fundamentales. Y los tenemos no sólo en las cartas de derechos nacionales sino también en la carta de derechos fundamentales de la UE. Y es por tanto una percepción del valor de la intimidad, del valor de la esfera privada que está muy arraigada en Europa y compartimos una cultura, unos valores comunes porque detrás de cualquier derecho siempre hay una escala de valores y esa escala de valores está muy asentada en Europa.

P.Ha sido muy crítico con la actividad de Google en materia de protección de datos. ¿Es algo común entre las empresas tecnológicas la negativa a colaborar con las autoridades o hay intención de llegar al entendimiento antes de llegar a un punto como al que se ha llegado con Google?

Yo no diría que es una negativa a colaborar, es una negativa a cumplir con la normativa española y  europea de protección de datos y eso es lo que queda de manifiesto claramente en este procedimiento que ha tenido que ir por todas las instancias judiciales hasta llegar a la más alta, todas diciéndole lo mismo pero la compañía continuaba resistiéndose y ya elTJUE como última instancia se ha pronunciado de una manera muy contundente: ustedes están obligados a cumplir con la normativa europea cuando actúan aquí en Europa con su buscador.
No todas las empresas son iguales, digamos que hay grados. Es cierto que existe una tendencia en las empresas tecnológicas que actúan globalmente a aprovechar esa estructura, esas características de actuar en varios estados para intentar no asumir responsabilidades en ningún sitio y esto es algo que tenemos que resolver con la coordinación y cuando tengamos el reglamento con criterios claros de determinación de la competencia de las autoridades nacionales para evitar esto, se aprovecha el hecho de que se actúa en varios estados para eludir el cumplimiento en todos. Pero en esta estrategia hay grados: hay empresas más responsables y hay otras menos. En este caso, el de la empresa Google, es una de las que actúa de una manera más irresponsable en el sentido de que aprovecha todos los resquicios que ofrece el ordenamiento para intentar eludir responsabilidades. Incluso cuando el ordenamiento es claro, aprovecha todos los procedimientos para establecer recursos, para dilatar el cumplimiento.

Tenemos ahora otro caso de máxima relevancia en relación con la política de privacidad y las condiciones de uso que han sido cambiadas en el año 2012 y que todas las autoridades de protección de datos de todos los estados de la UE hemos dicho que vulnera la normativa europea de protección de datos y le hemos requerido que modifique esas condiciones para respetar los derechos de los usuarios europeos y se han negado a atender estos requerimientos. Por lo tanto, hemos tenido que poner en marcha procedimientos sancionadores que ya se han desarrollado en seis estados de la UE, las seis autoridades que tenemos capacidad para investigar y para sancionar, y que a pesar de que ha sido objeto de estos procedimientos pues todavía se está resistiendo y está avanzando con mucha lentitud. Y ese es el ejemplo negativo.

P.¿Me puede citar algunos positivos?

Creo que lo más positivo lo tenemos en el ámbito europeo. Las empresas europeas, probablemente también porque tienen un control más próximo o más cercano de las autoridades de protección de datos, son mucho más respetuosas.
Luego hay otras empresas internacionales que después de una auditoría o de una valoración de sus condiciones de uso o de privacidad, de cómo tratan los datos de los usuarios en definitiva y de hacerse un requerimiento, han introducido cambios y se han adaptado a la normativa europea. Ninguna ha llegado al extremo de ignorar y no atender un requerimiento formulado por 28 autoridades de la UE, como Google.

P.¿Hay una tendencia en las tecnológicas de cambiar de forma abrupta sus condiciones de privacidad, aun sabiendo que tendrán que adaptarlas en el futuro?

En ciertos casos hay abusos claros, como este que estamos relatando porque es el más llamativo. Además es una empresa muy cualificada por la gran presencia que tiene y por lo tanto tiene un gran impacto. Es decir, si Google no respeta los derechos de los ciudadanos europeos, eso tiene un enorme impacto porque son muchos los usuarios. Y es prácticamente imposible actuar en internet sin utilizar algunos de los servicios o productos de Google.
Por eso, no es que las autoridades europeas tengamos una fijación con esta empresa, sino es que es la que más más impacto tiene y más lesión está causando. Por tanto, es ahora mismo prioritario que esta empresa adapte sus condiciones de uso, su política de privacidad, en definitiva el tratamiento que hace de los datos de las personas,a la normativa europea, que deje de vulnerar los derechos que esa normativa reconoce a todos los usuarios europeos.

Obviamente se trata de un ámbito, de un sector en el que continuamente hay cambios, movilidades, y eso exige también que las empresas tengan que adaptarse y cambiar sus condiciones de uso y política de privacidad por la evolución tecnológica, por el contexto. Pero eso no significa que esos cambios no se hayan de hacer respetando la normativa y puede ser que durante un tiempo consigan eludir el cumplimiento, seguir prestando el servicio en unas condiciones discutibles, pero al final acabarán teniendo una sanción, por lo tanto creo que no compensa.

Y cada vez les va a compensar menos porque los ciudadanos cada vez van a ser más conscientes, más exigentes y en la medida en la que existan alternativas pues optarán por las alternativas que son más respetuosas con sus derechos.
Aquí también hay un problema bastante generalizado de que muchos servicios tienen pocas alternativas y esto está afectando no sólo al tema de la competencia sino también a la protección de datos porque una empresa como Google que se siente en una posición tan fuerte al no tener competidores relevantes pues también se resiste, haciendo cálculos lógicamente, a cumplir con la normativa.

P.¿Pero se terminará imponiendo la normativa?

No tengo ninguna duda y además que van a ganar los ciudadanos. Las empresas no pueden jugar con los derechos de sus usuarios. Estamos viviendo un periodo transitorio, es un periodo inicial en el ámbito de las nuevas tecnologías donde los servicios que se ofrecen se presentan, aparte a veces también lo son, como muy atractivos. Estamos todavía en esta fase transitoria, inicial, en la que hay todavía un porcentaje muy alto de la ciudadanía que siente cierta fascinación por los productos y no repara en las consecuencias, no repara en el impacto que eso tiene sobre su persona, sobre su esfera privada, pero eso está cambiando. Se nota año tras año cómo evoluciona la conciencia de los usuarios, de los ciduadanos en general, en relación con esos servicios. Y también está cambiando porque estamos exigiendo a esas compañías que sean transparentes porque otra de las razones por las que no existe todavía una conciencia suficiente sobre los riesgos es porque las compañías están prestando los servicios sin informar debidamente de los datos que recogen, los usos para los que los destinan y de los derechos que tienen los ciudadanos y eso es una exigencia normativa que tienen que cumplir, tienen que informar. Si fueran más transparentes, los ciudadanos también podrían decidir si prestan consentimiento o no, si se buscan una alternativa.

El director de la Agencia Española de Protección de Datos, José Luis Rodríguez. EFE/Paco Campos
El director de la Agencia Española de Protección de Datos, José Luis Rodríguez. EFE/Paco Campos


A mí me sigue sorprendiendo mucho, me sigue llamando la atención, que muchos usuarios de Gmail se sorprendan cuando se les dice que la empresa Google escanea los contenidos de los mensajes que ellos envían a través de ese servicio para obtener información sobre cuáles son los intereses de los usuarios y monetizar esa información enviándoles publicidad.

Esto, en parte, se debe a que la empresa Google no está informando adecuadamente, y esta es una de las razones por las que hemos abierto el procedimiento y porque creemos que el sancionado no está informando adecuadamente a los usuarios cuando abre una cuenta de Gmail que esa cuenta no es gratuita porque va a pagar permitiendo a la empresa que conozca los contenidos de sus correos electrónicos y a través de ellos conozca cuáles son sus intereses y con eso elabore una ficha, una suerte de perfil sobre los intereses que permita financiar el servicio enviando publicidad. Eso tiene sus riesgos, porque la existencia de fichas sobre las personas siempre tiene un riesgo de que puedan ser utilizados por terceros, y para evitar esos riesgos hay que establecer unas condiciones de seguridad, pero la premisa es que el usuario conozca qué datos se están recogiendo y qué se hace con ellos para que su consentimiento sea un consentimiento válido.

Nosotros entendemos que tal como se está prestando ahora el servicio, el usuario no está dando un consentimiento válido porque no se le informa suficientemente y por eso hemos sancionado a la empresa y por eso hemos requerido que modifique las condiciones y que entre otras cosas dé una información fácilmente entendible de qué datos recopila, para qué los utiliza y además que les permita ejercer los derechos: si en un determinado momento quiere conocer qué datos se tiene sobre las personas, sobre cualquiera de los usuarios y para qué fines se destinan, que se facilite ese acceso como exigimos a cualquier otra empresa o proveedor de un servicio que trata datos personales.

P.Hay quien hace la lectura de que Europa utiliza este ámbito de la protección de datos para enfrentarse a EE.UU., a su innovación, a su potencial económico. ¿Qué opina al respecto?

No comparto ese planteamiento. Hay muchas veces una utilización propagandística e interesada de estos planteamientos, pero no es así. Sí es cierto que hay diferencias culturales: en Europa, como decía antes, tenemos reconocido como derecho fundamental el derecho a la protección de datos y otros derechos del entorno de la esfera de la personalidad y en EE.UU. no se ha desarrollado esta demanda de protección de estos valores como un derecho ni como un derecho fundamental. Aunque sí es cierto que algunos de los aspectos que aquí protegemos a través del derecho a la protección de datos en Estados Unidos se protegen por otros cauces, por ejemplo, a través del derecho de protección de consumidores, la protección de los datos de salud que tienen un nivel alto en EE.UU., o muchas veces por la vía del derecho a la competencia porque la mala utilización de los datos personales puede afectar también al ‘fair play’ y a la competencia entre las empresas y por esa vía también es combatida en EE.UU.

Por lo tanto, hay diferencias pero diferencias que se deben a que tenemos dos culturas que se han desarrollado históricamente de manera diferente. Pero no hay tampoco grandes colisiones de escala de valores y no hay tampoco una diferencia insalvable en cuanto a la protección de los valores.
En Estados Unidos el valor de la intimidad y de la privacidad también tienen un reconocimiento alto.
Es un enfoque radicalmente falso que en Europa no se desarrollen nuevas tecnologías o nuevos servicios porque el nivel de exigencia de protección de datos o de la normativa de protección de la privacidad es un obstáculo. En Europa sólo van a triunfar, sólo se van a desarrollar de una manera sostenible, aquellos productos, aquellos servicios que sean respetuosos con los derechos de los ciudadanos. Y la protección de datos, de la privacidad en general no es realmente un freno, es un activo. Y cada vez lo va a ser más.

Cuando se desarrolle más la conciencia de los ciudadanos o el impacto que todas estas nuevas tecnologías tienen en su esfera privada, van a ser mucho más exigentes y van a seleccionar y priorizar aquellos proveedores de servicios y aquellos productos que son más respetuosos y que les dicen claramente qué datos recopilan, qué hacen con ellos. Y que les permiten ejercer sus derechos para acceder y conocer qué datos tienen y eventualmente solicitar la cancelación si son datos que no son necesarios para la prestación del servicio. Por lo tanto, la protección de datos y la privacidad cada vez más no son un obstáculo sino un requisito y un activo, va a ser un valor que puede incluso permitir diferenciar a las empresas y convertirlo en una ventaja competitiva.

P.Precisamente en la memoria de la Agencia relativa al 2013 se destacaba que se aprecia una mayor conciencia de los ciudadanos en cuanto a dónde están sus datos, y qué pueden exigir. ¿Cree que el escándalo de la NSA o la sentencia del TJUE relativa al derecho al olvido han contribuido a ello?

Sin duda. Cada año hay más conciencia sobre los riesgos y sobre el valor de la privacidad y de los datos personales.
Obviamente cuando se tiene conocimiento de que los datos que recopilan proveedores de servicios en internet o proveedores de servicios de comunicación no sólo pueden ser utilizados por esos proveedores sino también utilizados por los servicios de inteligencia de los propios estados o de otros estados, eso indudablemente a todos nos pone en alerta sobre la dimensión del riesgo. Es decir, el riesgo ya no es sólo que los datos que la empresa que nos presta el servicio de correo electrónico sean conocidos por esa empresa y sean utilizados para monetizarlos vendiendo publicidad, sino que esa información puede ser accesible si no se adoptan las medidas de protección adecuadas por terceros que puedan ser servicios de inteligencia o de otra naturaleza.

P.¿Cree que la actuación de los tribunales es imprescindible para hacer valer la protección de los datos en España?

En España la intervención de los tribunales en relación con protección de datos no es cuantitativamente -hablo de números- relevante porque precisamente al existir una autoridad independiente como es la Agencia de Protección de Datos a la que los ciudadanos se pueden dirigir y en un procedimiento relativamente sencillo y breve en comparación con lo que duran los procedimientos judiciales, y además de forma gratuita obtener una respuesta y una protección, los ciudadanos acuden a la agencia. No acuden a los tribunales. Por tanto los casos que van a los tribunales son casos de gran relevancia porque pueden tener relevancia penal, que ya es un ámbito en el que no entra la Agencia, o porque han sido desatendidas las resoluciones o requerimientos que ha hecho la Agencia, como es el caso que motivó el procedimiento contra Google, porque Google se negó a atender el requerimiento que hizo la Agencia y eso es lo que motivó un larguísimo procedimiento judicial en el caso que llegó al Tribunal de Justicia de la UE y en otros más de 200 similares que estaban en la audiencia Nacional.

La última palabra siempre la van a tener los tribunales, pero creo que el valor que tiene la existencia de una autoridad independiente es que los ciudadanos no necesitan ir a los tribunales. Si no tuviéramos la agencia, los ciudadanos tendrían que ir a los tribunales cuando tienen esos problemas con todos los costes que esto implica: de tiempo, económicos y habría también una mayor carga de trabajo de la que todavía tienen los tribunales.

El modelo europeo de protección de datos tiene este elemento que es un gran activo, que es tener una autoridad independiente que pueda hacer una primera fiscalización, un primer control o una primera resolución y en la mayor parte de los casos al ciudadano le basta con eso porque obtiene una protección. Obviamente si considera que la Agencia no le ha protegido suficientemente también puede acudir a los tribunales impugnando la resolución de la Agencia.

Pero si vemos el número de asuntos resueltos por los tribunales y el número de asuntos resueltos por la agencia el porcentaje de asuntos judicializados es muy bajo precisamente por esta razón.

P.¿Son los españoles especialmente activos a la hora de reclamar sus derechos de protección de datos?

Sí, en España hay una fuerte conciencia del valor y la importancia que tienen los datos personales para la protección de la esfera de la intimidad y de las personas, del desarrollo de la personalidad en general. De hecho, somos la agencia europea que más reclamaciones atiende y resuelve anualmente, en algunos casos con mucha diferencia con otras. EFEfuturo
(Sin votaciones)
Cargando…