Tu miedo. Mi beneficio.

/0 Comentarios/en /por

“Para comprender la seguridad no hay que enfrentarse a ella,

sino incorporarla a uno mismo.”

-Alan Watts – (1951)

 

En los últimos meses una vorágine de noticias alrededor de la vulnerabilidad a través de las nuevas tecnologías,  ha incrementado nuestro miedo en relación al valor de nuestra seguridad. Desde diferentes frentes, tanto desde un punto de vista personal, hasta el gubernamental, pasando por el corporativo, hemos visto un increscendo de amenazas de todo tipo hacia nosotros. Sin darnos cuenta, miedos que teníamos controlados y paliados han vuelto a resurgir. Pero ¿Cómo nos afectan? ¿Se pueden mitigar de alguna manera? ¿Quiénes obtienen rendimiento de ello?

En mi opinión, cuando hablamos del resurgir de nuevas amenazas, nos hemos de situar en aquellas  emergidas alrededor de las TIC. Éstas están comprendidas, directa e indirectamente, en tres ámbitos fundamentalmente, a mi entender, como son: el ámbito personal/civil, el ámbito empresarial, así como el ámbito gubernamental. En las últimas semanas hemos visto claros ejemplos  de todos ellos con consecuencias, en algunos casos, desgarradoras. Ejemplos como los atentados perpetrados por grupos extremistas en UK, nos dan una imagen cruel y real de cómo nos afectan a nuestra seguridad, tanto como individuos, como gobiernos. Desde cualquier ámbito, todos ellos tienen un común denominador, el mermar nuestra seguridad a través del miedo. Pero  ¿Cómo se hace?

Una de las funciones intrínsecas de los Estados, entre otras, es la responsabilidad de velar por la seguridad de sus habitantes. Pero ¿Qué ha ocurrido en los últimos años para que nos volvamos a sentir amenazados? ¿Por qué ahora más que nunca los gobiernos se sienten perdidos en dicha labor? Quizá, en mi humilde opinión,  una de las razones más importantes, radica en su manera de proceder, mientras que en siglos pasados las batallas se libraban dentro de un área terrenal, en la actualidad se producen en un campo virtual. Me explico.

Desde la financiación del terrorismo hasta su adoctrinamiento, hasta delitos de otra índole, como son el ciberespionaje o el “Hackeos”, en su amplia variedad, se producen a lo largo del día, 7/24, a través de la red, y  entre sus víctimas encontramos a  todos los niveles. Gracias a las nuevas tecnologías, lo que antes llegaba sólo a un grupo reducido de personas, ahora en cuestión de segundos, se extiende de manera global; en consecuencia, lo que antes los gobiernos, corporaciones y civiles, tenían fácilmente controlado, ahora  en segundos se desvanece, y con ello, nuestra seguridad se convierte en volátil.

Después de los últimos atentados ocurridos alrededor del mundo, se ha podido comprobar un auge en la preocupación de los Estados en relación a la protección de sus individuos. Así en los últimos días, mientras que Bélgica ha aprobado comprar un software para identificar a posibles terroristas; países como Australia, UK, US, Canadá o NZ, se han reunido en Ottawa para tratar, entre otros menesteres, la seguridad de sus ciudadanos. En dicha reunión, se planteó de nuevo la necesidad por parte de los Gobiernos, de regular Internet. Más concretamente, se estableció por parte del Primer Ministro australiano, Malcom Turnbull, la necesidad de establecer mediante legislación, la cooperación  necesaria entre los Estados y las grandes mensajerías en Redes sociales, como Facebook Messenger, Whatsapp o Viber, para facilitar la desencriptación de los mensajes, por parte de éstas, cuando éstos pudieran provenir del ámbito del terrorismo. Pero ¿Dónde reside el límite entre la privacidad de los ciudadanos, y la seguridad nacional? ¿Acabaría con el problema?  Y los más importante ¿A quién beneficiaria? ¿Al ciudadano, al verdugo, o quién está detrás del verdugo? Son preguntas que antes de legislar debemos tener presentes.

 

Al igual que los Gobiernos, las corporaciones y civiles también sufren amenazas hacia su seguridad mediante injerencias en internet. Pero ¿les afectan de igual manera?  A mi entender, en esencia podríamos decir que sí. Todos somos vulnerables en la red, sin ninguna distinción. Un claro ejemplo lo tuvimos el pasado 12 de mayo del presente año, cuando el famoso ramsonware  Wannacry atacó, según EUROPOL, a más de 200.000, principalmente grandes empresas, y al menos en 150 países, pero ¿ha sido o será la última? No, por gracia o desgracia se pronostica un auge en los próximos tiempos. Hace tan sólo unos días, el pasado 27 de junio, se registró un nuevo ataque masivo,  su  target, como en anteriores ocasiones, fueron empresas y Estados, entre ellos, empresas tan importantes como la central nuclear de Chernóbil  o el Estado español. ¿Cómo se pueden prevenir? En estos casos, planes de prevención, compliance y formación a los trabajadores, son las mejores medidas que pueden aportar las empresas e instituciones para aminorar el riesgo de sufrir pérdidas de su información, y por tanto salvaguardar su corporación y sus posibles consecuencias.

Por último, pero no menos importante, nos encontramos en el ámbito personal, ejemplos como el “ciberbulling”, “sexting” o “phishing”, entre otros, forman  parte del gran abanico de  delitos, que abarcan al individuo o colectivo como victimas preferentes.

Todos y cada uno de ellos establecen  una serie de características comunes. Primero, los riesgos deviene de un tercer ente, los cuales mediante el miedo, nos hace peligrar nuestra seguridad desde un mundo virtual, el cual de momento no podemos controlar al 100%.  Segundo, desde el ámbito gubernamental, como en el ámbito corporativo o individual se nos muestra que dicho riesgos vienen y devienen, tanto en el mismo ámbito, es decir de manera horizontal (ej. Ciberespionaje entre Estados o compañías del mismo sector), como de manera vertical (ej. Wannacry, un ataque básicamente a empresas y Estados, por también de manera indirecta a los individuos). Tercero, cuando hablamos de nuevas tecnologías, debemos tener en cuenta, que sus pros y sus contras, no se dan en un área específica, sino que se dan a nivel transversal, en todas las áreas de nuestras vidas, tanto en la esfera privada, como institucional pasando por la corporativa. Y cuarto y último, somos los máximos responsables de adoptar las medidas que se adecuen  mejor a nuestra seguridad; ejemplos como la privacidad en nuestras redes sociales, adoptar y aplicar un buen plan compliance en nuestra empresa o legislar de manera diligente como Estado, son actos que nos pueden ayudar a prevenir de posibles males en un futuro. Pero aún así, mírame ¿crees que estamos seguros?

 

Àngela Lleixà Alsina

Abogada Multidisciplinar especializada en: TIC, Empresa, Parlamentario e Internacional

Asociada de ENATIC

@ngelalleixa

La legitimación para el tratamiento de datos personales en el nuevo RGPD

/0 Comentarios/en /por

Con la entrada en vigor el próximo 25 de mayo del nuevo Reglamento Europeo de protección de datos personales (RGPD o GDPR), deberá revisarse que todos los tratamientos de datos personales en curso se adecuan al mismo, en sus múltiples facetas o nuevas obligaciones para los responsables o encargados del tratamiento.

El RGPD tiene como novedad significativa que va a ser de aplicación directa en todos los estados miembros de la UE y presenta numerosas novedades con respecto a la actual legislación, la Ley 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y su Reglamento de desarrollo, entre las cuales debemos analizar lo relativo a la legitimación para el tratamiento de los datos personales.

Encontramos los parámetros esenciales exigidos para la licitud del tratamiento en el art. 6, las condiciones para que consentimiento sea válido, art. 7 y una extensión especial para determinar las condiciones necesarias para la validez del consentimiento del niño, con relación a los servicios de la sociedad de la información en el art. 8.

El artículo 6 del RGPD nos indica los requisitos para que un tratamiento de datos personales pueda ser considerado lícito:

El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

He resaltado los dos aspectos que, en mi opinión, van a ser más controvertidos en cuanto a su aplicación.

Las condiciones para el consentimiento. El consentimiento tácito.

Las características del consentimiento exigidas por el art. 7 se exponen a continuación:

  • El responsable deberá poder demostrar el consentimiento del interesado (art. 7.1).

  • Debe ser revocable fácilmente (art. 7.3).

  • El consentimiento debe recaer sobre todos los fines para los que vayan a tratarse los datos (Considerando 32).

  • El consentimiento debe ser informado, en un lenguaje claro y sencillo, como mínimo de la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales y deberán evitarse cláusulas abusivas.

  • El consentimiento deberá ser consciente y libre (considerando 42).

Además, el Reglamento establece otros requisitos para que pueda considerarse que la manifestación de voluntad sea válida:

  • Consentimiento “explícito”, habilitador para el tratamiento de categorías especiales de datos personales (art. 9) o ser objeto de decisiones individuales automatizadas (art. 22).

  • Consentimiento “inequívoco”. En este sentido, para considerar que el consentimiento es inequívoco, debe existir una declaración de los interesados o una acción positiva que indique la conformidad del interesado (art. 4.11).

En el Considerando 32 del Reglamento se considera como acción positiva el hecho de marcar una casilla de un sitio web en internet, así como la realización de una conducta que indique claramente, en este contexto, que el interesado acepta la propuesta de tratamiento de sus datos personales.

Así pues, la conducta de un interesado puede llevar a comportar la prestación de un consentimiento inequívoco para el tratamiento de sus datos personales, pudiendo ser considerada esta conducta como una acción positiva a que hace referencia el art. 4.11.

En este sentido, la Audiencia Nacional ha validado diferentes conductas de interesados como acciones que validan el consentimiento en diferentes y variadas situaciones, por ejemplo, por uso del servicio de telefonía, por el abono de varias facturas del servicio, por los actos posteriores a un arrendamiento de vehículo, etc.

El simple consentimiento tácito que contemplaba el Reglamento de desarrollo de la LOPD, en su artículo 14, consistente en que, si el interesado nada oponía en 30 días desde su comunicación, deberá considerarse no válido. La Agencia Española de Protección de Datos ha manifestado su criterio de que el Reglamento deroga este artículo, puesto que no existe acción específica por parte del interesado, es decir, el Reglamento no admite la “inacción”, como causa de considerar otorgado el consentimiento para el tratamiento de los datos personales.

La habilitación del tratamiento para la satisfacción de intereses legítimos.

En el art. 6.1.f se establecen los intereses legítimos que deben considerarse y que pueden ser de los responsables o de terceros, haciendo especial referencia siempre a que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.1

En este sentido se plantea un conflicto entre lo que pueda representar intereses legítimos, no solo de los responsables, sino también de terceros versus los derechos y libertades fundamentales del interesado.

La Sentencia del Tribunal de Justicia de la UE de febrero de 2012, resolvió que la mera invocación de un interés legítimo no puede considerarse suficiente para legitimar el tratamiento de datos personales sin el consentimiento del afectado. En sus fundamentos, el propio Tribunal argumenta la necesidad de realizarse, en cada caso concreto, una ponderación entre el interés legítimo de quien va a tratar los datos y los derechos fundamentales de los interesados, para determinar cuál debe prevalecer.

La Audiencia Nacional ha considerado procedente, entre otros, un interés legítimo en diferentes supuestos en que la publicación de algunos datos se ha considerado amparada por la libertad de información, la existencia de un interés legítimo en el envío de correo electrónico a miembros de un colectivo profesional por parte de un candidato a elecciones en dicho colegio y la actividad de un motor de búsqueda en la actividad desarrollada.

También la Agencia Española de Protección de Datos ha considerado diferente casuística como legitimadora para tratar los datos, atendiendo en cada caso al contexto y la finalidad, ponderando los intereses en conflicto en cada caso.

En resumen, el nuevo Reglamento viene a clarificar y delimitar con más profundidad los requisitos exigibles para que un tratamiento de datos personales pueda tener legitimidad, lo que debe llevar a los responsables a la revisión de si es posible continuar con el tratamiento de los datos de que dispone o debe recabar algún tipo de consentimiento, teniendo en cuenta el Considerando 171 que permite la continuidad en el tratamiento, si el consentimiento obtenido se ajusta a las condiciones del presente Reglamento. En cualquier caso, deberán ser objeto de revisión los protocolos de los tratamientos para adecuarlos a los requisitos del nuevo Reglamento.

Pere Rius Alonso
Abogado
Asociado ENATIC
TICJURIS ADVOCATS, SLP
Vic
www.ticjuris.com
https://www.linkedin.com/in/pere-rius-alonso-6b6ba516/
@rius_pere

1 De acuerdo con el art, 8.1, se considera niño al menor de 16 años, aunque los estados pueden regular una edad inferior, siempre que no sea inferior a 13 años. En España, el actual Reglamento de desarrollo de la LOPD considera la edad de 14 años para que el menor pueda dar su consentimiento.