Tecnología y Derechos

Rumanía puede estar utilizando el RGPD para initmidar a periodistas

La Agencia de Protección de Datos de Rumanía ha enviado una serie de preguntas a los periodistas que firmaron un artículo sobre un caso de corrupción solicitando información que podría revelar las fuentes del mismo.

por Dollores Benezic

La nueva ley de privacidad de la Unión Europea, el Reglamento General de Protección de Datos (RGPD) se está probando en toda Europa. El primer caso sobre privacidad del RGPD en Rumania comenzó con una investigación publicada el 5 de noviembre sobre un escándalo de corrupción que implica a un político y gente cercana al mismo con una empresa que estaba siendo investigada por fraude.

Carta abierta para pedir un equilibrio adecuado entre la protección de datos y la libertad de expresión

La Agencia Rumana de Protección de Datos (ANSPDCP) envió una serie de preguntas a los periodistas que escribieron el artículo pidiéndoles información que podría revelar sus fuentes. Además, menciona una sanción de hasta 20 millones de euros si los periodistas no cumplen e insiste en que actúa de forma independiente, sin injerencia política, y únicamente para "garantizar un equilibrio entre el derecho a la protección de datos personales, la libertad de expresión y el derecho a la información".

La Asociación para la Tecnología e Internet (ApTI), junto con otras 11 organizaciones de derechos humanos y de medios de comunicación, envió una carta abierta a la ANSPDCP. ApTI es una ONG de derechos digitales, miembro de European Digital Rights (EDRi), que apoya y promueve una Internet libre y abierta donde los derechos humanos estén garantizados y protegidos. La carta pide a la ANSPDCP que analice minuciosamente los casos del RGPD que puedan poner en peligro la libertad de expresión y exige que se establezca un mecanismo urgente y transparente para poder evaluar las reclamaciones que implican el procesamiento de datos con fines periodísticos.

Asimismo, ApTI, Privacy International, EDRi y otras 15 ONG de derechos digitales, han enviado una carta al Comité Europeo de Protección de Datos, con copia a la ANSPDCP y la Comisión Europea, solicitando que no se utilice el RGPD de forma indebida para amenazar la libertad de los medios de comunicación en Rumanía.

La Agencia de Protección de datos rumana cuestiona una publicación en Facebook

El hashtag #TeleormanLeaks se refiere a un artículo de prensa sobre el vínculo entre Tel Drum, una empresa de construcción de carreteras con sede la provincia de Teleorman, Rumanía, que está siendo investigada actualmente por malversación de fondos europeos, y Liviu Dragnea, presidente del Partido Socialdemócrata y de la Cámara de Diputados, que tiene un imperio empresarial en esta provincia. La primera parte de la investigación fue publicada el 5 de noviembre por RISE Project, un medio de periodismo de investigación rumano. También se publicó una entrada en Facebook para anunciar la investigación.

El 8 de noviembre, la ANSPDCP envió una notificación a RISE Project solicitando información sobre los datos personales que figuraban en la publicación de Facebook, entre otras cosas, sobre su procedencia. Esto provocó indignación internacional y la reacción de Organised Crime and Reporting Project (OCCRP), la Comisión Europea y múltiples periodistas y medios de comunicación.

La víspera de la recepción de la carta a RISE Project, los medios de comunicación rumanos habían informado que una de las personas clave implicadas en el escándalo, actualmente el director comercial de Tel Drum y ex jefe del departamento de control de prevención financiera de la misma, había presentado un recurso de "derecho al olvido" ante la ANSPDCP. Sin embargo, aparentemente la notificación de la ANSPDCP a RISE Project se basó en información de un tercero y no específicamente en esta notificación.

La notificación implica que la ANSPDCP considera que, basándose en el RGPD, tiene derecho a preguntar la procedencia de la información publicada en la publicación de Facebook. Sin embargo, no ha explicado por qué considera que no entra en contradicción con la legislación rumana sobre libertad de expresión, que incluye el uso de datos con fines periodísticos, ni tampoco ha aclarado cuál ha sido su análisis para evaluar la conciliación de los derechos fundamentales en cuestión.

El RGPD y la libertad de expresión

El Considerando 153 del RGPD establece que el Reglamento no puede ser utilizado como herramienta que prive el disfrute de otros derechos, incluida la libertad de expresión periodística. Todos los derechos fundamentales tienen el mismo valor y, cuando surge un conflicto, es necesaria una reconciliación.

Los Estados miembros y las autoridades reguladoras deben aplicar el marco más amplio de los derechos humanos europeos y tener en cuenta la Carta de los Derechos Fundamentales de la Unión Europea, el Convenio Europeo de Derechos Humanos y la jurisprudencia del Tribunal Europeo de Derechos Humanos (TEDH)

Rumanía limita el Artículo 85 del RGPD

La forma en que Rumania ha implementado el RGPD plantea interrogantes ya que permite únicamente excenciones con fines periodísticos en tres escenarios muy específicos, que son extremadamente limitados. Esto se conoce como Artículo 7. El tratamiento de datos personales para actividades periodísticas suele ser mucho más amplio. Restringir las derogaciones con fines periodísticos solo a las tres opciones enumeradas no es suficiente para garantizar la libertad de expresión, en concreto la libertad periodística y la jurisprudencia de derechos humanos.

Las intenciones de la autoridad son opacas

La exención del artículo 7 antes citado establece que "el tratamiento con fines periodísticos o de expresión académica, artística o literaria podrá llevarse a cabo si se trata de datos personales que el interesado haya manifestado públicamente o que estén estrechamente vinculados con la condición pública de la persona o al carácter público de los hechos en los que esté implicada".

A partir de la notificación al RISE Project, asumimos que la ANSPDCP consideró que el mensaje de Facebook no fue escrito con fines periodísticos o que esta situación no está cubierta por una de las escasas exenciones del Artículo 7.

También es posible que la ANSPDCP nunca tuviera la intención de investigar la actividad periodística, y solo estuviera interesada en una posible violación de los datos personales subyacentes. Pero incluso aplicando el artículo 7, sus deficiencias implican que no se garantiza una protección adecuada de la libertad de expresión y de las fuentes periodísticas.

La Agencia de Protección de Datos rumana quizá no tenga derecho a solicitar las fuentes

Habida cuenta de la jurisprudencia del Tribunal Europeo de Derechos Humanos sobre la libertad de expresión, no queda claro que la ANSPDCP tenga derecho a solicitar las fuentes en una investigación periodística. Asimismo, la petición es bastante poco precisa. La Agencia parece estar buscando información estándar en casos de protección de datos, como la fuente de los datos o el soporte de almacenamiento de los mismos.

Sin embargo, en la segunda parte de la solicitud, la ANSPDCP menciona su derecho a acceder al soporte de almacenamiento electrónico en el que se almacenan los datos personales. Esto puede interpretarse como una solicitud para averiguar dónde se almacenan los datos, aunque este tipo de acceso solo debería exigirse si fuera necesario para llevar a cabo sus atribuciones de investigación de conformidad con la legislación procesal rumana.

Conciliar la protección de datos y la libertad de expresión

Para que una agencia de protección de datos pueda conciliar la libertad de expresión y la protección de datos, primero debe existir una exención adecuada en la ley. Como ya se ha mencionado, la limitada exención del Artículo 7 de la legislación rumana plantea una serie de problemas. Para que la ley se pueda aplicar de manera efectiva y coherente, se precisa también asesoramiento y formación.

La jurisprudencia del Tribunal Europeo de Derechos Humanos (TEDH) enumera los factores que deben tenerse en cuenta en relación con estos dos derechos fundamentales: que el trabajo sea de interés público, la forma en que se obtuvo la información y el contenido, la forma y las consecuencias de la publicación de la obra.

En este caso, Privacy International, EDRi, ApTI y otros han pedido el asesoramiento y la intervención del Comité Europeo de Protección de Datos. la función de este organismo es proteger los derechos y no ser una herrameinta para intimidar o silenciar a periodistas y a la información de interés público.