La traducción de políticas de protección de datos

La traducción de políticas y coletillas de protección de datos

Este artículo es útil tanto para las políticas de protección de datos como otros textos relacionados. Estos textos aparecen en coletillas en los correos electrónicos, en pedidos y facturas, en cláusulas de muchos contratos, en documentos de consentimiento, etc. Un lugar estrella para este tipo de textos sin duda son las páginas web en las que aparece la política de protección de datos (a veces dentro de la política de privacidad o en combinación con las políticas de privacidad y de cookies) y en el clausulado de los avisos legales, en avisos en formularios de recogida y tratamiento de datos, en ventanas emergentes, etc.

Fuentes de términos para estas traducciones

Para las políticas y coletillas sobre protección de datos, así como los contratos, acuerdos, pedidos, etc. en los que se mencionen términos procedentes del REGLAMENTO (UE) 2016/679, lo mejor es acudir directamente a EUR LEX (multilingual display) y buscar los términos de que se trate.

La legislación de referencia es la GDPR (General Data Protection Regulation) – RGPD (Reglamento General de Protección de Datos).

Para esto vamos a la página de EURLEX y que nos muestre en dos columnas la versión de lenguas que queremos (en este caso INGLÉS y ESPAÑOL).

En Eurlex se muestran las traducciones oficiales de protección de datos.

Algunos de los términos más frecuentes son:

Derechos de acceso, rectificación, limitación, supresión, portabilidad y oposición — rights of access, rectification, restriction, erasure, portability and objection.

¿Se dice «right of access» o «right to access»?

Tal vez, la primera pregunta sea si es «right of access» o «right to access«. Pues bien, esto aparece como RIGHT OF ACCESS en la legislación europea y en la británica e irlandesa también, mientras que los demás derechos aparecen como «right to». También aparece como RIGHT TO el derecho a presentar una reclamación (que se dice LODGE A COMPLAINT y no «file a claim«).

Puede plantear algún problema esta distinción entre «right to» y «right of» para mucha gente porque la mayoría de las personas piensan que es lo mismo y no ven diferencia alguna. Tengo que confesar que a mí me resulta difícil entenderla también.

El problema para la traducción puede ser que siguiendo esta terminología en frases como las de arriba «derecho/s de acceso, rectificación…» habría que poner ambas opciones «right of access and to rectification, etc.«. Hay muchas frases de textos jurídicos que son absolutamente horrendas con preposiciones múltiples y podrían surgir muchos engendros como «rights OF and TO…«.

Es una opción de traducción poco atractiva en muchos casos por lo que supone enrevesar el texto y, sobre todo, ciertas frases. Por ello, pienso que el traductor juicioso puede emplear tanto «of» como «to». Sin embargo, cuando estén enunciados de forma aislada estos derechos como, por ejemplo, «Derecho de acceso» en un título de un apartado, debería ser «Right of access«. En sentido estricto, en castellano, es «derechO de acceso» (en singular) y no «derechOS de acceso» (en plural), si estamos hablando del derecho como término en sentido puro. No obstante, aquí también diría que — de forma juiciosa siempre — el traductor puede decidir si en el contexto de una frase u oración determinada debería decirse «derecho» o «derechos».

El término «supresión» – ¿es deletion o erasure?

El término oficial es «right to erasure» y así aparece en la GDPR, en el Artículo 17: Right to erasure (‘right to be forgotten’) // Derecho de supresión («el derecho al olvido»).

No obstante, nos puede hacer dudar porque en los diferentes reglamentos pueden aparecer como intercambiables los términos «deletion» y «erasure».

Por ejemplo, en un lugar de la GDPR dice:

Every reasonable step should be taken to ensure that personal data which are inaccurate are rectified or deleted.

Mientras que, en la versión española, dice:

Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos.

Aparte de debates sobre si es mejor «deben» o «deberán tomarse«, lo importante es que se introduce el término «delete» como traducción de «suprimir«.

Uno de los principales problemas que puede encontrar el traductor en la traducción de estos documentos es que los clientes (si son, por ejemplo, agencias de traducción) nos pueden aplicar guías terminológicas muy rígidas y programas que realizan comprobaciones exhaustivísimas y extenuantes para la gente que realiza estos trabajos pero, sin embargo, en la legislación de origen existen bastantes bailes de términos.

Otros ejemplos en los que aparece «delete» como traducción de «suprimir» en la GDPR aparece a continuación. Existen más ejemplos, pero no he buscado todos:

After the completion of the processing on behalf of the controller, the processor should, at the choice of the controller, return or delete the personal data

Una vez finalizado el tratamiento por cuenta del responsable, el encargado debe, a elección de aquel, devolver o suprimir los datos personales

El problema del término «derecho de oposición» – «right to object»

En cuanto a «oposición» se traduce «derecho de oposición» por «right to object» y no figura expresamente la palabra «objection» en la GDPR. No obstante, para que las frases de los textos que traducimos sean gramaticalmente aceptables, muchas veces pienso que es necesario utilizar «objection«. Sin embargo, para referencias a «derecho de oposición» (por ejemplo, en un título de un apartado) debe decir «right to object».

El origen del problema de traducción surge de la propia terminología de la GDPR ya que «oposición» no sería «object» (que se traduciría como «oponerse») y la traducción que nos viene dada para «derecho de oposición» es «right to object» y no «right of / to objection».

La frase del ejemplo «derechos de acceso, rectificación, limitación, supresión, portabilidad y oposición» la hemos traducido como «rights of / to access, rectification, restriction, erasure, portability and objection». Sin embargo, hemos visto que no aparece expresamente la palabra «objection» en la GDPR aunque, para la traducción de esta frase, resulta conveniente poner «objection«.

También es posible decir para la frase de marras «derechos de acceso, rectificación, limitación, supresión, portabilidad y oposición»,  «rights to access, rectification, restriction, erasure, portability and to object / and, additionally, the right to object«. Yo no he encontrado muchos problemas por usar «objection» pero sí que es cierto que no figura esta palabra en la GDPR.

Por supuesto, que en coletillas anteriores (de la antigua LOPD) pueden figurar muchas traducciones para «oposición» como «challenge», «oppose», etc. Pero, si queremos seguir lo que sale en la nueva legislación europea en inglés, tendremos que emplear el término «object», que es el que sale en la Directiva.

¿Y qué pasa si quisiéramos traducir la frase de ejemplo a pies juntillas?

Pues tendría que ser:

«derechos de acceso, rectificación, limitación, supresión, portabilidad y oposición» = «rights OF access, and TO rectification, restriction, erasure and portability, and the right to object»… Que es una frase bastante infumable en inglés.

Por eso la traducción propuesta era: «rights of / to access, rectification, restriction, erasure, portability and objection». Y entiendo que aquí se podría elegir o bien «of» o bien «to» para no recargar tanto la frase.

Rectificación – rectification

Es lo mismo que los casos anteriores. Como la traducción ahora es «rectification» para «rectificación», no deberíamos usar ni «amendment» ni «modification».

No obstante, también existen vaivenes de la terminología en la legislación de referencia y un ejemplo es este párrafo (no de la GDPR sino de la implementación o transposición británica de la misma – Data Protection Act 2018) en la que se dice:

The information to be supplied pursuant to a request under section 94 must be
supplied by reference to the data in question at the time when the request is
received, except that it may take account of any amendment or deletion made
between that time and the time when the information is supplied, being an
amendment or deletion

Por supuesto que no hay nada de malo en las palabras «amendment» y «deletion». Significan «modificación» y «borrado», respectivamente.

En la GDPR, en este caso, no se ha usado (tras varias búsquedas, no he encontrado nada) «amendment» en el sentido de rectificar datos. Tanto «amendment» como «modificación» se emplean en la GDPR únicamente en relación a modificaciones legislativas o reglamentarias, pero nunca para referirse a «modificación de datos».

Las dificultades para traducir «conservar datos»

Es un pequeño problema terminológico en sí mismo, ya que no existe una consistencia en la traducción de este término en la legislación. A veces se dice «keep» y otras veces otras palabras.

Algunos ejemplos son:

CONSERVACIÓN – KEEP – STORE – RETAIN…

GDPR. CONSERVAR = STORE

Generalmente, se está traduciendo «conservar» por «store» y «conservación» por «storage» y no por otros sinónimos como «keep / kept / keeping», etc.

‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;

«tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

Sin embargo, en otro lugar, aparece la palabra «retain» para «conservar»:

El responsable no debe conservar datos personales con el único propósito de poder responder a posibles solicitudes

A controller should not retain personal data for the sole purpose of being able to react to potential requests

LEGISLACIÓN BRITÁNICA. CONSERVAR = KEEP (y ahora, «store», por influjo de la GDPR)

Otros verbos como «keep» (y no está mal porque, por ejemplo, sale en la legislación británica de protección de datos). Sin duda, «keep» es un verbo mucho más simple y común que «store», «conserve», «preserve» o «retain».

El término «keep» ya figuraba en la ley antigua inglesa de protección de datos (anterior a la de 2018) y es uno de los «data protection principles«. Figura también así en la transposición de 2018:

The fifth data protection principle
The fifth data protection principle is that personal data must be kept for no
longer than is necessary for the purpose for which it is processed.

Este principio, de los ocho que se enunciaban ya en la Data Protection Act de 1998 no ha cambiado y sigue siendo «personal data must not be kept for any longer than is necessary«, en consistencia con la legislación anterior.

También encontramos la palabra «keep» en la GDPR en este párrafo:

In order to ensure that the personal data are not kept longer than necessary, time limits should be established by the controller for erasure or for a periodic review.

Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica.

Esta terminología se refleja en los principios enunciados en la Data Protection Act de 1998, en los que se emplea la palabra «kept».

Los principios procedían de un texto europeo (el de la antigua Directiva de 1995, la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos). Esta directiva ya no está en vigor porque fue reemplazada por la nueva en 2016.

Lo interesante para nosotros es que en la traducción de la Directiva de 1995, el término «conservar» se traduce en inglés por «keep» mientras que «stored» aparece en castellano como «archivado».

Data… ¿En singular o en plural?

Un tema muy polémico puede ser si poner «data» en singular o en plural. Siempre van a existir encendidas discusiones sobre «data IS» y «data ARE» en cualquier traducción al inglés…

Pueden emplearse las dos con criterio.

No obstante, en la GDPR, parece que existe una preferencia por «data are» (58 apariciones en las búsquedas), mientras que «data is» solo se dice 12 veces.

Sin embargo, en la legislación británica de 2018 aparece «data are» solo 3 veces y «data is» aparece en 76 ocasiones.

Parece ser que los británicos son un poco más rebeldes a la hora de aceptar «data are» que los irlandeses, porque en la Data Protection Act 2018 de Irlanda (Irish Statute Book), sale «data is» 14 veces y «data are» en 36 ocasiones. Visto así, parecería que los irlandeses se han adherido más al texto original europeo que los británicos.

Otros términos sobre los que no existen dudas

Los casos de los que hablamos en este artículo son, en su mayoría, casos en los que existe flexión verbal o estamos hablando de derivaciones nominales como «conservación».

Existen otros muchos términos – por supuesto – que aparecen en las listas de términos respectivas. Una cosa muy útil que se hace en la mayoría de las leyes del Reino Unido (o de una parte del Reino Unido, dependiendo de si las leyes son aplicables en todo Reino Unido o solo en Inglaterra, Gales, Escocia y/o Irlanda del Norte) es dar una guía de términos empleados en esa «pieza de legislación» o texto legal.

Términos mal traducidos a menudo

A este respecto, destacaría que hay términos en los que no existe ninguna duda pero que, sin embargo, aparecen mal traducidos muchas veces. Son términos como los de «controller» y «processor» que, a veces, resultan confusos. También es cierto que en muchos motores de búsqueda aparecen mal traducidos o traducidos al revés y esto puede dar lugar a errores.

Una de las cosas que tengo que hacer a menudo es apuntar en un papel lo que es «data controller» (responsable del tratamiento) y lo que es «data processor» (encargado del tratamiento) porque me lo encuentro mal traducido un montón de veces y me hago un lío que no veas…

Una razón viene por la propia palabra «responsable» porque muchas personas podrían pensar que la persona responsable es la que se encarga de hacer algo. Pero, en este caso, vemos que no. Que el responsable es el que tiene una labor de vigilancia superior o «controladora» mientras que el encargado es el que realiza el tratamiento.

No ayuda nada, lógicamente, que en los principales motores de búsqueda de contextos de traducciones aparezcan mal traducidos múltiples veces los términos y que sea un lío casi permanente…

Por ello, podéis hacer como yo y apuntaros siempre «responsable» y «encargado» en la «cheat sheet» o chuleta para acudir a ella siempre que uno se olvide.

Políticas «localizadas» y «no localizadas»

Otro aspecto a destacar es que algunas políticas de protección de datos o avisos legales pueden estar localizadas según la normativa española y otras no.

¿Qué significa «localizadas»? Pues significa que lo han escrito unos abogados locales y lo han adaptado a la legislación específica. El traductor – lógicamente – no puede prestar este servicio. Solo traduce y no lo adapta a la legislación local (que lo hace un abogado o una abogada o una persona – en todo caso – con formación jurídica específica).

Es normal que figuren – por ejemplo – los datos de la AEPD [Agencia Española de Protección de Datos] y referencias concretas a su página web, sus correos electrónicos, etc.

Si no estuviera localizada o adaptada la traducción al mercado local, dirían meramente «diríjase a la Autoridad de Control [supervisory authority]«.

La traducción estricta de «Autoridad de Control» según la Directiva es «supervisory authority». No obstante, es infrecuente que aparezca así y en el 90 % de las políticas que se envían para traducir, va a aparecer la agencia española.

Artículos relacionados:

Un artículo relacionado con el de traducciones de políticas de protección de datos, es el que trata sobre traducir políticas de cookies.