Un cumpleaños tenso

Vigilancia Legal No. 24 – Mayo de 2020

Un cumpleaños tensoEl RGPD celebra su segundo aniversario en un contexto especialmente convulso para los derechos fundamentales.

¿Qué tan resiliente será el sistema europeo de protección de datos ante los desafíos sanitarios actuales?

La base de derechos que protege a los individuos en Europa, puesta a prueba ya en la lucha contra el terrorismo, ¿está adaptada a la evolución que conocemos hoy?

• Leyes de emergencia y “solucionismo” tecnológico

Leyes de emergencia y avances tecnológicos que posibilitan la seguimiento de individuos se están multiplicando en Europa y el resto del mundo.

Si las analizamos más detenidamente, no todas estas iniciativas son iguales.

Dentro de la propia Unión Europea, las leyes de excepción francesa y húngara, por ejemplo, son muy diferentes en términos de restricciones y ámbito de aplicación.

En Francia, el gobierno se ha enfrentado a un intenso debate parlamentario, en particular sobre el rastreo de personas infectadas y la cuarentena preventiva de enfermos. Algunas disposiciones incluso han sido censuradas por el Consejo Constitucional.

Hungría va más allá al restringir de forma general el papel de su Parlamento, así como, más específicamente, las protecciones proporcionadas por el RGPD en relación con la elaboración de perfiles, el derecho de las personas a acceder a sus datos y el derecho al olvido.

También hay diferencias significativas al comparar la aplicación alemana de seguimiento "covid", que se basa en un sistema descentralizado con una recopilación mínima de datos, y la aplicación del Reino Unido, cuyos datos (identificables) son almacenados por el gobierno durante veinte años sin ninguna evaluación de impacto previa.

La Agencia de los Derechos Fundamentales de la Unión Europea (FRA) ha publicado dos informes que evalúan el impacto de las medidas adoptadas por los Estados europeos sobre los derechos fundamentales.

Ella advierte contra la desarrollo de medidas intrusivas y eladicción a este nuevo estado de cosas.

Si bien es cierto que las personas deben beneficiarse de la información más completa posible, así como de medios de control (consentimiento, derechos de oposición y supresión) en el marco de la implementación de sistemas de seguimiento, Las autoridades de protección de datos recuerdan que la legalidad de estos sistemas no puede basarse únicamente en el consentimiento de los interesados..

Como señala la CNIL en su dictamen sobre la aplicación StopCovid, ahora operativa, «la utilidad real del dispositivo deberá estudiarse con mayor precisión tras su lanzamiento».

La duración de la implantación del sistema deberá estar condicionada a los resultados de esta evaluación periódica”.

¿Serán suficientes estas evaluaciones ex post? En principio, un examen exhaustivo de la utilidad de los nuevos dispositivos de rastreo debería preceder a la implementación del procesamiento, incluso (y especialmente) en situaciones de emergencia, cuando se procesan datos sensibles.

• Salvaguardias institucionales

Además del Parlamento y de instituciones como la CNIL, los tribunales y juzgados franceses están llamados a pronunciarse sobre la recopilación de datos.

Es el caso del Consejo de Estado, que ordenó al Estado, mediante Orden del 18 de mayo, cesar todas las medidas de vigilancia con drones para controlar el confinamiento en París.

Lo mismo se aplica al Tribunal de Justicia de Rennes, que calificó lautilizando el archivo ADOC (expediente de multas) para verificar reincidencia en el incumplimiento de las normas de confinamiento.

Cabe señalar que estas recientes decisiones se basan en la existencia o ausencia de una base jurídica, sin poner en tela de juicio de manera más fundamental la proporcionalidad de las medidas coercitivas.

¿Qué hay entonces de la proporcionalidad de estas medidas? ¿Se han tenido suficientemente en cuenta las cuestiones éticas que plantea una posible desviación de los métodos de vigilancia?

Las recientes recomendaciones de la OMS respecto a la ética de las tecnologías de rastreo apuntan a La delgada línea entre la vigilancia sanitaria y la vigilancia de la población, y los mayores riesgos que enfrentan las personas marginadas.

La OMS aboga por una supervisión eficaz de los actores públicos y privados involucrados en la gestión de datos de población.

El documento enumera los principios esenciales que deben respetarse en el contexto actual y proporciona una lista muy útil de comunicaciones recientes de autoridades públicas y organizaciones internacionales (una amplia recopilación también está disponible en el sitio web de la Asamblea Global de Privacidad).

• El papel esencial de los actores detrás de los tratamientos

Estas consideraciones ponen de relieve la necesidad de una reflexión profunda sobre la responsabilidad de los actores implicados en los sistemas de vigilancia, a nivel de los organismos públicos pero también de los actores privados.

Antes de proyectarnos hacia “el mundo del más allá”, veamos primero las herramientas que tenemos hoy.

La originalidad del RGPD en comparación con el marco jurídico anterior reside sobre todo en las medidas de rendición de cuentas que prevé.  El responsable del tratamiento de datos, ya sea estatal o empresa privada, debe rendir cuentas.

Se encarga de evaluar el desarrollo de herramientas de gestión de datos a la luz no sólo de cuestiones económicas o políticas, sino también de los derechos fundamentales, en particular mediante un análisis previo del impacto del tratamiento en los derechos de las personas.

Y esta obligación viene acompañada de multas, como acaba de sufrir Correos de Finlandia, que fue condenada por no realizar un análisis de impacto antes de implementar el procesamiento de datos.

La integración de la protección de datos en el diseño de un dispositivo de procesamiento y la configuración del dispositivo para limitar los datos recopilados, también conocida como "privacidad por diseño" y "privacidad por defecto", constituyen otros dos elementos esenciales para tener en cuenta los derechos de las personas antes de cualquier procesamiento de datos.

Este es el papel clave del RGPD que la presidenta del Comité Europeo de Protección de Datos, Andrea Jelinek, recuerda en su mensaje con motivo del aniversario del Reglamento.

El RGPD se adapta a las crisis que estamos atravesando, pero es responsabilidad no solo de las autoridades de control sino también y sobre todo de los responsables del tratamiento de datos. jugar el juego.

EL respeto de los derechos fundamentales es sin duda, hoy más que nunca, un paso esencial para garantizar la confianza y lo tieneaceptación por individuos de nuevos desarrollos tecnológicos.

Sin confianza está en juego la eficacia de las medidas sanitarias y el propio resultado de la crisis que atravesamos. 

Anne Christine Lacoste

Abogada especializada en derecho de datos, fue Responsable de Relaciones Internacionales del Supervisor Europeo de Protección de Datos y trabajó en la implementación del RGPD en la Unión Europea.