Actualización sobre la legislación francesa

Extracto del libro de Bruno DUMAY: DESCRIPCIÓN DEL RGPD – Para directivos, departamentos estratégicos y empleados de empresas y organizaciones – Prólogo de Gaëlle MONTEILLER

Las dos últimas líneas del RGPD, que deroga el artículo 94 de la Directiva 95/46/CE, es decir, el texto de referencia anterior sobre protección de datos, son las siguientes: «Será aplicable a partir del 25 de mayo de 2018. El presente Reglamento será vinculante en todos sus elementos y directamente aplicable en cada Estado miembro». Por lo tanto, no es necesario su transcripción a una ley nacional. No obstante, se invita a los Estados a hacerlo, lo que coincide con la práctica de muchos de ellos. Si bien Europa aún no es una federación, ni mucho menos.

Por ello, Francia ha elaborado un proyecto de ley (un texto presentado al Parlamento, único titular del poder legislativo, pero propuesto por el gobierno) que incorpora las disposiciones del reglamento europeo sobre protección de datos personales (conocido como el «paquete europeo»). Este texto, presentado a mediados de diciembre de 2017 por la ministra de Justicia, Nicole Belloubet, fue aprobado el 13 de febrero de 2018 por la Asamblea Nacional por una amplia mayoría (505 votos a favor, 18 en contra y 24 abstenciones). Para su entrada en vigor, aún debe ser aprobado por el Senado, que lo examinará a partir del 20 de marzo (por lo tanto, desconocemos el resultado en el momento de redactar este informe, a principios de marzo, pero no hay motivo para que los senadores voten de forma diferente a sus colegas diputados en este punto).

Ayer se aplicó la Ley de Protección de Datos de 1978. Esta longevidad demuestra la inteligencia de quienes la promovieron en su momento (internet no existía), aunque ahora esté obsoleta. Por lo tanto, la nueva ley sustituye a la de 1978, al igual que el RGPD sustituye a la directiva de 1995 a nivel europeo. A las disposiciones del reglamento que hemos visto, se añaden las de una directiva aplicable a los expedientes penales (que se referiría, en particular, al archivo nacional de huellas genéticas, al de las prohibiciones de entrada a estadios o incluso al tratamiento de antecedentes penales).

«Esto implica simplificar los trámites previos en favor de un proceso de rendición de cuentas para las partes interesadas y reforzar los derechos individuales. A cambio, se refuerzan las competencias de la CNIL y se incrementan considerablemente las sanciones impuestas», afirmó la Sra. Belloubet, haciéndose eco de la filosofía del reglamento europeo.

La ley va incluso más allá del RGPD en dos puntos: la edad de la "mayoría digital" y las demandas colectivas. En cuanto al primer punto, recordamos que el RGPD la establece en 16 años, pero permite a los estados reducirla a 13. Francia ha optado por una postura intermedia: "Un menor puede consentir por sí solo el tratamiento de datos personales a partir de los 15 años" (esta reducción de un año no provino del gobierno, sino de los propios diputados, en forma de enmienda al borrador inicial). Entre los 13 y los 15 años, se requiere el consentimiento paterno. Por debajo de los 13 años, se prohíbe cualquier recopilación de datos. Pero ¿cómo se pueden aplicar estas disposiciones cuando sabemos que, según un estudio de la CNIL de junio de 2017, el 63 % de los jóvenes de entre 11 y 14 años están registrados en una red social, que 4 de cada 10 mienten sobre su edad y que las plataformas o redes sociales establecen sus propias normas (es posible registrarse en Facebook sin autorización paterna a partir de los 13 años)?

Otro punto fuerte de la nueva ley de protección de datos es la posibilidad de demandas colectivas, ya iniciadas por las leyes de 2014 y 2016, pero que en esta ocasión permitirían la indemnización por daños de carácter material o moral, mientras que hasta ahora solo se consideraban los daños económicos. A pesar de la dificultad de implementar este procedimiento, la nueva ley francesa establece un mecanismo adicional de presión sobre las empresas.

El texto francés, de conformidad con el RGPD, que prevé excepciones en áreas relacionadas con la seguridad, mantiene la autorización previa para el tratamiento de datos biométricos necesarios para la identificación o verificación de la identidad de las personas. Asimismo, la legislación europea no se aplica a una docena de los denominados archivos de "soberanía", como el archivo de alertas para la prevención de la radicalización de carácter terrorista (FSPRT).

Un aspecto sorprendente de la ley parece haber recibido poca atención: el proyecto de ley faculta al gobierno para reescribir la Ley de Protección de Datos en su totalidad en un plazo de seis meses, mediante una ordenanza (artículo 38 de la Constitución, el gobierno actúa en un ámbito que corresponde, en particular, al Parlamento). Por lo tanto, ¿esta nueva ley de protección de datos tendría una duración limitada? Esto no solo resulta sorprendente, dado que el contenido principal de la ley es la transposición de un importante reglamento europeo, diseñado para perdurar. Además, cabe preguntarse por qué el Parlamento renunciaría a su competencia sobre un asunto tan fundamental. Finalmente, ¿cómo podemos exigir a las empresas que cumplan antes del 25 de mayo de 2018, si las reglas del juego cambian en los próximos meses?

El escaso consenso en nuestro país sobre las nuevas medidas en favor de la protección de datos no debería impedirnos escuchar las críticas, cuando provienen de personas con una experiencia innegable en la materia. Simplemente mencionaremos dos de ellas.

El primero es de Yann Padova, exsecretario general de la CNIL, ahora abogado en Baker McKenzie, quien escribió en Les Échos el 29 de enero: «Nuestro mundo está experimentando una avalancha de datos, cuyo volumen se duplica cada veinticuatro meses. Facilitar su análisis, buscar nuevas correlaciones y fomentar la aparición de servicios innovadores: este es el reto del Big Data hoy y de la inteligencia artificial mañana. Al negarse a explotar esta posibilidad, el proyecto de ley opta por el conservadurismo. Dadas las fortalezas de nuestra industria francesa y nuestra escuela matemática, esta decisión es lamentable. Demuestra una vez más la falta de consideración del vínculo entre la innovación, la protección de datos y el desarrollo industrial».

El segundo es de Laurent Alexandre, especialista en inteligencia artificial (entre otros), cuyos esclarecedores análisis nos han ilustrado durante años sobre el impacto de las tecnologías NBIC (nano, bio, informática y ciencias cognitivas) en nuestras vidas. En su columna del 24 de enero de 2018, titulada "¿Debería abolirse la CNIL?", escribe: "... La IA encuentra correlaciones inesperadas entre datos que, a priori, parecen poco interesantes. Cualquier restricción a la recopilación de datos perjudica sin duda a todos los operadores, pero sobre todo permite que las empresas chinas o estadounidenses prosperen sin competencia europea". Y añade: "En Bruselas, necesitamos una Thatcher de los datos que lidere la guerra tecnológica. A escala francesa, necesitamos revolucionar la CNIL, dirigida por un equipo extraordinario, pero que persigue el objetivo equivocado. Necesitamos enriquecer su misión integrando los intereses tecnológicos de nuestro país".

Este no es el lugar para iniciar un debate. Pero estas dos perspectivas sensatas nos muestran que la legítima protección de los datos personales no debe ejercerse en detrimento de la innovación y el desarrollo económico, pues de lo contrario nos veremos sometidos.