Cartas de Derechos Digitales para una Era Digital

El 14 de julio de 2021, el presidente del Gobierno, Pedro Sánchez, presentó la Carta de Derechos Digitales, un documento de carácter oficial que busca perfilar los derechos más relevantes en el entorno y los espacios digitales. Posteriormente, otros países y organismos internacionales han publicado o están trabajando en la publicación de instrumentos similares, que buscan ser una respuesta desde los gobiernos a los retos que el contexto actual de digitalización y transformación digital vienen imponiendo a la sociedad.

Posicionarse frente al impacto de las tecnologías digitales es una idea a la que no le faltan exponentes. Uno de los ejemplos más conocidos es la Declaración de Independencia del Ciberespacio, publicada por John Perry Barlow en 1996. Abordando en específico los derechos humanos, la Asociación para el Progreso de las Comunicaciones (APC) presentó en 2006 la primera Carta sobre Derechos en Internet. Finalmente, en 2014 Telefónica publicó su Manifiesto Digital, en el cual se hace mención explícita a los derechos digitales.

Un denominador común de las iniciativas citadas anteriormente es su naturaleza propositiva, pues promueven una visión sobre el desarrollo de la tecnología, en armonía con valores y principios fundamentales. Así mismo, todas contienen llamados a la acción de los gobiernos. Es interesante ver cómo el paso del tiempo va mudando las perspectivas sobre cuál debe su rol. Mientras que Perry Barlow aboga por su no intervención, tanto la APC como Telefónica los exhortan a involucrarse en el ámbito de una gobernanza de múltiples partes interesadas.

Históricamente, la forma en que los gobiernos del mundo han respondido a estos llamados ha sido a través de la regulación. En un primer momento, estas regulaciones, así como las discusiones en torno a las mismas, eran eminentemente locales, como es el caso de las leyes de telecomunicaciones. Sin embargo, con el avance de la globalización y la aparición de tecnologías disruptivas, estas han pasado a ser cada vez más adaptaciones locales de marcos legales construidos a nivel regional e internacional.

Ahora bien, aunque instrumentos como la Ley Modelo de Comercio Electrónico de la CNUDMI (1996), el Convenio de Budapest (2001) o el Reglamento General de Protección de Datos (2016) representan visiones ampliadas sobre cómo debería conducirse el uso y desarrollo de las tecnologías, sólo muy recientemente los gobiernos han empezado a adoptar iniciativas semejantes a las de la sociedad civil y el sector privado. Estamos hablando de documentos oficiales que, sean locales o regionales, casi no poseen componentes normativos y tienen un fuerte foco en los derechos.

La Unión Europea (UE) y sus miembros han sido especialmente prolíficos en su producción. Además de la Carta de Derechos Digitales de España, podemos mencionar la Dichiarazione dei diritti in Internet de Italia, la Carta Portuguesa de Direitos Humanos na Era Digital de Portugal y la Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital de la UE. En menor medida, al otro lado del océano también encontramos iniciativas similares, como la Declaration for the Future of the Internet promovida por Estados Unidos y adherida por 60 países. También, aunque en proceso de construcción, la Carta de Derechos Digitales de Perú y la Carta Iberoamericana de Principios y Derechos Digitales de la Organización de Estados Iberoamericanos (OEI).

Todos estos documentos presentan una constitución ciertamente atípica. Aunque sus textos recogen la regulación digital ya existente y de cierta manera la expanden, no suelen ser vinculantes (la Carta Portuguesa sería una excepción). Establecen un esquema de valores y principios a partir de los cuales trazan hojas de ruta, pese a no ser agendas digitales. Son lo suficientemente abstractas como para inspirar el desarrollo de políticas públicas o nuevas regulaciones, pero igualmente concretas como para ser fuentes de interpretación legislativa o incluso judicial.

A diferencia de la sociedad civil y el sector privado, en sus Cartas y Declaraciones los gobiernos y organismos internacionales solo se pueden interpelar a sí mismos y a la manera cómo han venido respondiendo ante los desafíos para los derechos humanos que plantean la digitalización y la transformación digital. Así pues, estos ejercicios de posicionamiento institucional se constituyen como una excelente oportunidad para repensar acciones pasadas, corregir las presentes y guiar las futuras.

Hay que decir además que el formato bajo el cual se han gestado la mayoría de estos instrumentos ha permitido una flexibilidad inédita. Al no ser leyes, ni tratados, han estimulado la participación de los actores no gubernamentales del ecosistema digital, a veces ausentes debido a las limitaciones propias de la burocracia. Por ejemplo, las Cartas de España y Perú han sido elaboradas sobre el trabajo de grupos de expertas y expertos hasta producir un borrador, el cual luego se ha sometido a consulta pública, todo ello en un período relativamente corto de tiempo.

Si bien es preciso señalar que este tipo de documentos no son ni serán los únicos medios a través de los cuales los gobiernos pueden posicionarse, sus características los hacen una opción conveniente. No resulta extraño pues que, a partir de los ejemplos citados, podamos identificar una tendencia en su adopción, al menos en los países y regiones que comparten valores y principios semejantes en torno a los derechos humanos. ¿Significa esto que veremos más de estas iniciativas en el futuro? No necesariamente.

Cuando en 2014 se aprobó el Marco Civil da Internet en Brasil, una de las primeras regulaciones en el mundo que otorga estatus de norma legal a diferentes derechos digitales, se avivó la llama de un movimiento que en el ámbito académico se denomina “constitucionalismo digital”. Una de las ideas del constitucionalismo digital es que el ejercicio de los derechos humanos en entornos digitales parece exigir su formalización a través de jurisprudencia, leyes ordinarias o cambios en las constituciones, no para gozar de la misma protección (que ya la tienen), sino para aportar claridad sobre su interpretación.

Durante los siguientes años y hasta ahora, se han producido diferentes iniciativas para lograr dicho fin, siendo especialmente visibles aquellas que buscan incluir dentro de las constituciones de los países el acceso a Internet como un derecho humano. Sin embargo, con el paso de los años, muchas de estas iniciativas han comenzado a diluirse sin haber producido grandes impactos. Si bien las Cartas de Derechos Digitales cumplen otro propósito, es posible inferir que incluso estas podrían experimentar problemas similares.

Sea cual sea el caso y destino de este nuevo instrumento, es una nueva oportunidad de pensar en los derechos, en el contexto de la Era Digital en la que vivimos.

Carlos Guerrero Argote
Abogado – Consultor independiente – www.carlosguerrero.pe

Reflexiones sobre movilidad y privacidad

Según la ONU, el 68% de la población mundial para el año 2050, vivirá  en entornos urbanos. En Europa se estima que para dicho momento un 84% de su población será urbana. En un país como España su población urbana pasaría de alrededor de ochenta a ochenta y ocho millones de personas. Ello podría suponer que ciudades como Barcelona o Madrid se encuentren con una población cercana a los siete u ocho millones de habitantes. Esta creciente masificación y concentración de la población en las grandes urbes, unido a los evidentes problemas de la calidad del aire, ruido, accidentes, consumo de energía, entre otras cuestiones, obligan a replantearse el modelo actual de movilidad si queremos aliviar los problemas de congestión del tráfico, reducir las emisiones contaminantes, tener una movilidad más limpia y eficiente y, sobre todo, orientada a los ciudadanos.

Para ello, resulta absolutamente esencial el papel de los datos y la toma de decisiones en base a los mismos.  El sector de la movilidad (tanto para el diseño de las políticas públicas como para el desarrollo de nuevos negocios) se encuentra, indefectiblemente, ligado a vehículos conectados y autónomos, infraestructuras conectadas, nuevas tecnologías como 5G, blockchain, el uso actual de la inteligencia artificial, ciudades sensorizadas, plataformas digitales como servicio, sistemas inteligentes de transporte, uso de drones, etc.; y por lo tanto a la recopilación, análisis, estudio y utilización de datos de todo tipo (personales o no).

Y esta parece ser la hoja de ruta a seguir tanto en laEstrategia Europea de datos (que busca convertir a la UE en el líder de una sociedad impulsada por datos) y la Estrategia Europea de movilidad sostenible e inteligente (que ya prevé la futura construcción de un espacio común europeo de datos referidos a la movilidad); como en la Estrategia de Movilidad Segura, Sostenible y Conectada 2030 aprobada por el Gobierno, de acuerdo con los Objetivos de Desarrollo Sostenible (ODS) de la Agenda 2030, y el reciente Anteproyecto de Ley de movilidad sostenible (que prevé, entre otras cuestiones, la creación de un Sistema Nacional de Movilidad de Sostenible, un Espacio de Datos Integrado de Movilidad, “Sanboxes” de movilidad y la promoción de los “open data” y la provisión por parte de los operadores y proveedores de movilidad de determinados datos de transporte y movilidad de forma gratuita, no discriminatoria, actualizada y en modo estandarizado, accesible e interoperable).  

Sin embargo, no podemos olvidar que, a pesar de los más que evidentes beneficios y utilidades[1] que pueden conseguirse (además de otras cuestiones no menos importantes, como la gobernanza del modelo de transporte o movilidad, la generación de confianza en los agentes implicados, los espacios compartidos de datos u open data, interoperabilidad entre sistemas y plataformas, etc., que excederían con mucho el propósito de un post como el presente); la utilización de las referidas tecnologías y las que puedan aparecer en el futuro inmediato, junto a la recolección, análisis, estudio y uso masivo de datos hacen surgir nuevos riesgos y a la vez nuevos retos, especialmente en lo referente a la privacidad y al derecho fundamental a la protección de datos personales de los ciudadanos.

Un ejemplo de ello es la nueva tendencia, casi obligada podríamos decir, de los últimos años hacia un cambio del actual modelo de movilidad; surgiendo así, al menos en las grandes urbes, el nuevo paradigma del MaaS (mobility as a service) y las plataformas multimodales de movilidad potenciando y/o promoviendo un cambio en los hábitos de consumo del ciudadano transitando de un modelo de movilidad basado en la propiedad privada hacia un modelo basado en el servicio y la experiencia compartida.  La idea del MaaS no es otra que ofrecer una única interfaz al ciudadano-usuario donde pueda estudiar, comparar, planificar, elegir, reservar y pagar su viaje (ver rutas disponibles, incluso en tiempo real, horarios, tarifas, elegir medio o medios de transporte, elegir operador, realizar el pago, u optar por servicios adicionales, especialmente los basados en la ubicación, etc.). Pero también el sector público, y especialmente las entidades locales, podría verse beneficiados y mejorar las políticas de transporte y movilidad, la congestión del tráfico, la reducción de la huella de carbono, la definición y gestión de zonas de bajas emisiones, la gestión y recaudación de multas ante incumplimientos, crear nuevas infraestructuras y rutas de transporte según la demanda, etc.

El principal conjunto o tipo de datos personales que resultan esenciales para los proveedores MaaS son los datos de ubicación o referidos a la posición geográfica o geoespacial de una persona. Cuando se utilizan cualesquiera servicios en el entorno MaaS, se va dejando un “rastro digital del viaje” y de los movimientos realizados (punto de partida, punto de llegada, dispositivo elegido, medio o medios de transporte empleados, duración, velocidad, ruta elegida, fecha, hora, lugares visitados, donde se compra, donde se come, etc.). Incluso, en algunos casos también pueden seguir recolectándose algunos datos, aunque se apague o desconecte el dispositivo o se esté ejecutando la aplicación en segundo plano.

Además, ese “rastro digital del viaje” permite obtener patrones de movimiento y comportamiento de los ciudadanos que incluso, en algunos casos, podría llevar a obtener datos personales de carácter especial relativos a la salud (en función de la frecuencia de visitas a determinadas zonas, áreas o departamentos de determinados hospitales), orientación sexual (teniendo en cuenta la frecuencia de viajes a determinadas zonas de una ciudad, bares, restaurantes, etc.) o ideología (derivados de la frecuencia de viajes a determinados lugares, asociaciones, etc.). Si, además, esta información de “rastro digital del viaje” se cruzara con otras fuentes de información, como, por ejemplo, la derivada de distintas redes sociales, la precisión y exactitud del patrón de comportamiento aumenta exponencialmente. En cualquier caso, y con independencia del nivel de precisión, exactitud o calidad de los datos, bien a partir de datos individualmente considerados bien a partir de la información deducida del conjunto de estos, es posible llegar a identificar directa o indirectamente a una persona. “La relevancia de estos datos, también en lo jurídico, está en que no solo dicen dónde está la persona, también dicen quién es la persona[2]

Por otra parte, otro conjunto o tipo de datos que podrían recopilarse por los proveedores MaaS o de cualesquiera plataformas multimodales de movilidad podrían ser, dependiendo de los casos de negocio y/o finalidades de uso de cada proveedor: datos identificativos o de registro, método/os de pago, datos del propio dispositivo (bluetooth, dirección IP, operador móvil, sistema operativo, navegador, etc.), uso de cookies, datos de diferentes sensores móviles (como giroscopios, osciloscopios, acelerómetros, etc.), información sobre llamadas y mensajes de texto entre la plataforma y el usuario y/o diferentes operadores, token de inicio de sesión con redes sociales (que permite acceder a determinada información que el usuario publica en dichas redes sociales), etcétera.  

Los ecosistemas MaaS son sistemas complejos donde para poner a disposición del usuario final los diferentes servicios de movilidad, además de los tradicionales operadores de movilidad, tanto públicos como privados, se unen ahora nuevos intermediarios entre los operadores tradicionales y el usuario final como son los agregadores de datos, los integradores MaaS (y de los diferentes servicios de movilidad disponibles) y los operadores MaaS (que gestionan, facilitan la plataforma, aplicación o interfaz con el usuario final), pudiendo cada uno de ellos tener un rol diferenciado o mezclarse diversos roles en uno mismo. Resulta evidente que la “propiedad” y el acceso a los “datos” puede generar una posición de dominio en el mercado, pero también es verdad que ese nuevo modelo de movilidad no tendrá éxito sino es con la colaboración público-privada, privada-privada, y publica-publica; estableciendo y definiendo modelos justos y equitativos de intercambio de datos que incentiven y  favorezcan la inversión  y colaboración de todos los agentes y a la vez redunden en el beneficio e interés público y sean respetuosos, entre otros, con él derecho a la privacidad de los ciudadanos.    

En este nuevo escenario, una magnífica herramienta que ayudaría a garantizar el derecho fundamental a la protección de datos personales, y, por ende, la libertad de los ciudadanos; sería, en mi opinión, las evaluaciones de impacto en protección de datos (conocidas también por su acrónimo inglés “PIA”-Privacy Impact Assesment-), y reguladas en art. 35 RGPD. Ello permitiría, en primer lugar, contar con una descripción de los tratamientos de datos personales y su contexto (es decir, una descripción sistemática de las operaciones, finalidades del tratamiento- y/o de los múltiples tratamientos-, beneficios obtenidos, delimitación clara de roles- responsables/encargados/ corresponsables del tratamiento, esencial en un ecosistema MaaS-, tipos de datos, intercambios o cesiones de datos entre diferentes agentes públicos y/o privados). En segundo lugar, analizar el ciclo completo de vida de dichos datos (recolección, uso, almacenamiento, cesión, conservación, etc.). Y, en tercer lugar, identificar y gestionar adecuadamente los riesgos asociados al uso y tratamiento de los datos personales aplicando controles, medidas y garantías adicionales, en su caso, para reducir, mitigar o controlar dichos riesgos.   

Otra de las herramientas claves (junto con la minimización de los datos, el cifrado, o la transparencia) en aras a la protección de la privacidad, sería el uso de los procesos de “anonimización” de los datos, como sucede en el sector público en materia de reutilización de la información pública y los “open data”. Ante la gran cantidad de intervinientes o agentes, públicos y privados, en estos ecosistemas con diversidad de intereses, negocios, y competencias no siempre será necesario el uso de información personal. Por ejemplo, pudiera resultar que un determinado operador u operadores públicos o privados necesitaran compartir determinada información para el análisis y la mejora o eficiencia del alumbrado publico de una ciudad, o para el control de emisiones contaminantes y zonas de bajas emisiones, o para la realización de estudios o investigaciones para la futura creación o mejora de carriles- bici, etc. En principio, para cualquiera de estas finalidades no parece resultar necesaria el uso de información personal y podría procederse a la “anonimización” de la misma antes de proceder a su compartición o uso. Sin embargo, no debemos olvidar que los procesos de anonimización o de conversión de datos personales en datos anónimos constituyen un tratamiento en sí mismo de datos personales, sometido al RGPD y a los principios de la protección de datos, entre otros, el principio de la responsabilidad activa o accountability que le obliga  a cumplir y a demostrar dicho cumplimiento. Por ejemplo, dicho tratamiento debería quedar contemplado en el registro de actividades de tratamiento (art. 30 RGPD) o, según el caso, incluirse como medida adicional o ser objeto una evaluación de impacto (art. 35 RGPD). En cualquier caso, resulta absolutamente esencial llevar a cabo un análisis, gestión y revisión continua de los riesgos de reidentificación que el propio proceso de anonimización conlleva. Pero no solamente respecto de la reversibilidad en sí misma de la anonimización de los concretos datos o atributos de los mismos que contengan información personal, sino también respecto a las posibilidades de identificar o hacer identificable a una persona al realizar determinadas agregaciones de información o cruzar o mezclar distintos conjuntos o bases de datos (y ello a pesar de estar anonimizados en origen), como por ejemplo sucede con el “rastro digital del viaje” que hemos visto con anterioridad.

Sin duda, estas y otras herramientas ayudarían a garantizar y proteger la privacidad de los ciudadanos (aparte de otras cuestiones como definir o aclarar los roles y responsabilidades de cada uno de los agentes que intervienen en el ecosistema MaaS). Pero, además, si se impulsara o promoviese su uso y generalización, así como la transparencia y la publicidad de dichas “PIA”-Privacy Impact Assesment-, o al menos, un resumen ejecutivo de las mismas, especialmente cuando interviniera un agente público; ello generaría o impulsaría la confianza necesaria en el ciudadano para ese cambio de modelo y uso que este nuevo paradigma necesita.

En mi opinión, RGPD es y debe seguir siendo la piedra angular de la normativa europea en materia de protección de datos personales y de su libre circulación en el espacio económico europeo. Y ello, porque es en dicha norma (con un alcance general y directamente aplicable en todos los países del EEE y tanto al sector público como privado) donde se contienen las bases, las pautas y los principios generales de utilización de los datos personales en cualesquiera ámbitos y sectores. Esto no es incompatible con la posible existencia de normativas específicas o de desarrollo, de carácter sectorial o particular que desarrollen aspectos particulares de sectores determinados o ámbitos específicos o tecnologías particulares presentes o futuras permitiendo y favoreciendo la innovación, la competitividad, la compartición de datos, la reutilización de la información pública  y, en definitiva, el desarrollo económico y social.

En este sentido, además de resultar tremendamente interesante seguir de cerca, por las cuestiones de fondo que regula, el recorrido que tendrá la reciente propuesta de la Comisión Europea sobre un Reglamente del Parlamento Europeo de 23 de febrero de 2022 sobre “normas armonizadas sobre el acceso justo a los datos y su uso”, denominado “Ley de Datos” o “Data Act”, es que en su considerando 7 ya señala que “(…) El presente Reglamento complementa y se entiende sin perjuicio de la legislación de la Unión sobre protección de datos y privacidad, y en particular el Reglamento (UE) 2016/679 y la Directiva 2002/58/CE. Ninguna disposición de este Reglamento debe ser aplicada o interpretada de manera que disminuya o limite el derecho a la protección de datos personales o el derecho a la privacidad y confidencialidad de las comunicaciones (…)”.  

Aunque es cierto que en muchas ocasiones, y por diversos motivos o circunstancias que no vienen al caso, no resulta fácil de aplicar y llevar a la práctica el RGPD; no es menos cierto que han sido muchos los esfuerzos y los recursos destinados por la gran mayoría de organizaciones, tanto públicas como privadas, para adaptarse y cumplir con el modelo establecido por RGPD promoviendo un auténtico cambio cultural, en la forma de gestionar, tratar y utilizar la información de carácter personal que está redundando en beneficio de los ciudadanos (como clientes, ciudadanos, administrados, proveedores, usuarios, empleados, interesados, etc.).

Debe seguir existiendo un referente, un vértice geodésico europeo de datos personales, una norma básica de carácter general, directamente aplicable en todos los estados miembros que marque y establezca, de manera transversal, las líneas generales y las pautas de actuación y de uso de los datos personales, y esa norma es RGPD. Sin duda alguna, toda crítica constructiva será bienvenida porque no hay nada perfecto ni tampoco inamovible y todo es mejorable, máxime cuando lo que está en juego es la innovación, la economía y el propio desarrollo económico y social en aras a la consecución del bien común; pero cualquier cambio de estrategia en este sentido, supondría, en mi opinión, un retroceso en todo lo conseguido hasta ahora, un gran paso atrás  y una perdida irrecuperable en términos de privacidad para los ciudadanos europeos.

A pesar de que no será el único, en el sector de la movilidad los profesionales dedicados al cumplimiento y la privacidad tienen un gran reto por delante,  pudiendo aportar un enfoque proactivo en las diferentes organizaciones públicas y privadas, donde cada vez más las decisiones se van tomando en base al análisis de grandes cantidades de datos; para aportar soluciones imaginativas y creativas que favorezcan la colaboración público-privada, la innovación y el desarrollo de nuevos enfoques, soluciones o negocios, que promuevan, mejoren e impulsen el derecho a la movilidad de los ciudadanos pero que a la vez sean respetuosas con el derecho a la privacidad de las personas.

Oscar A. Sánchez Albarrán
Delegado de Protección de Datos, Autopistas.


Documentación o fuentes consultadas:

Más información:


[1] Puede obtenerse más información en DÍAZ DÍAZ, EFRÉN “20 formas en que se utilizan los datos GIS en los negocios y en la vida cotidiana” https://www.derechogeoespacial.com/uso-de-datos-geoespaciales/ y “Aspectos legales de los datos y servicios geoespaciales y su incidencia en la privacidad”, Ed. Wolters Kluwer, España, 544 pp. ISBN 978-84-18349-29-4

[2] EFRÉN DÍAZ DÍAZ, en https://www.derechogeoespacial.com/los-datos-geoespaciales-nos-dicen-no-solo-donde-esta-la-persona-sino-quien-es/

“Accountability: necesita mejorar”

Cuando nos vamos acercando a los cuatro años de la fecha de 25 de mayo de 2018, en la que comenzó la aplicación del Reglamento General de Protección de Datos (RGPD), podríamos hacer diferentes valoraciones con relación a su puesta en marcha. Aprovecho este post del blog de ENATIC para reflexionar en relación a una de las novedades más relevantes que nos trajo nuestro querido Reglamento.

Profesionalmente me dedico desde el año 2002 a ser “protector de datos” y la percepción es que se había de poner al día la Directiva del 95, pero todos somos conocedores que ya teníamos un corpus jurídico de protección de datos con la LOPD del 1999. Por esto, creo que tenemos que evaluar las novedades que nos trajo el Reglamento y cuál ha sido el grado de acomodación y cumplimiento en estas novedades normativas.

Personalmente, y muchos de los lectores lo pueden confirmar, creo que uno de los puntos más innovadores fue la puesta en marcha del principio de “accountability” o rendición de cuentas o de “responsabilidad proactiva”. También considero que es uno de los aspectos que menos se está interiorizando y aplicando de manera rigurosa por los responsables de tratamiento (o encargados de tratamiento).

El RGPD lo establece con carácter de principio en el art. 5.2 de su articulado. He asistido a múltiples debates en los que se discutía: ¿es una obligación? ¿es un principio?… Por supuesto que es un principio, pero de cierta naturaleza especial ya que es un principio que nos debe ayudar a cumplir con los principios de tratamiento de datos del art. 5.1 RGPD.

No voy a definir el principio de responsabilidad proactiva, pero  me gusta simplificarlo así: tengo que cumplir con el RGPD (vaya obviedad…) y tengo que poder demostrar que estoy cumpliendo.  En relación a su estricto cumplimiento os planteo mis dudas sobre el grado de cumplimiento que, la mayoría de obligados a cumplir el RGPD, puedan acreditar debidamente este principio de “accountability”.

Probablemente sean diversos factores los causantes de este “necesita mejorar”: desde la novedad normativa, pasando por el entorno cultural del sur de Europa y acabando en la falta de adecuadas metodologías por parte de los expertos en protección de datos que dan soporte a los obligados. Tuve la oportunidad en 2019 de llevar a cabo una estancia de investigación en una Universidad de Londres y os puedo confirmar  como la literatura científica, el conocimiento y la “impregnación” del “accountability” anglosajona era muy diferente al que se podía contrastar en nuestro territorio.

El marco que teníamos con la LOPD de 1999 y su Reglamento de Desarrollo no establecía un marco especialmente “accountability friendly”, y a pesar de disponer de algunas guías de referencia como por ej la opinión 3/2010 del GT del art. 29 sobre el referido principio, podría confirmar sin temor a equivocarme, que era la responsabilidad activa era un gran desconocido.

Tampoco voy a aportar ninguna “poción mágica” para dar cumplimiento a la “accountability”… y por supuesto la naturaleza, sector de la entidad, diversidad de tratamientos, etc. pueden determinar diversidad de formas de acreditación. No tenemos un conjunto de acciones o medidas estándares, sino que como expertos en protección de datos tenemos que ofrecer soluciones a nuestros clientes garantes con este principio.

Sensibilizar con este principio no es suficiente, sino que tenemos que ser capaces de poder “medir” con parámetros objetivos el grado de cumplimiento, documentar ese cumplimiento y verificar periódicamente su grado de adecuación.

Hemos de conectar necesariamente la “accountability” con el cumplimiento de la protección de datos desde el diseño y por defecto (tal vez otro gran desconocido y en que se puede hacer exacta reflexión). Probablemente nos encontramos con los puntos clave para poder establecer un grado de excelencia en relación al marco de adecuación al RGPD. En este sentido, os dejo la siguiente pregunta: ¿tenemos elementos objetivos medibles y concretos para verificar, por ejemplo, la protección de datos por defecto? Os invito a hacer un inventario de acciones auditables del 1 al 10 y ver el grado de cumplimiento en la mayoría de los obligados.

Este post sólo pretende reflexionar sobre la necesidad de mejorar y ofrecer soluciones adecuadas a los obligados y que la cultura “accountability” se establezca de forma natural en los empresas, organizaciones y administraciones obligadas a cumplir con el mismo.

Jordi Ferrer Guillén
Socio Director de Cyberlaw Consulting
Profesor Adjunto – Departamento Operaciones, Innovación & Data Sciences de la ESADE
Vocal de ENATIC

La factura de la injusticia: ¿Qué perderíamos si no se apostara por digitalizar el sistema judicial?

En un artículo anterior titulado “Los presupuestos de justicia en el mundo y sus grandes diferencias en cuanto a digitalización” se señalaba que uno de los posibles destinos del presupuesto invertido en la justicia era la informatización o tecnificación de los órganos judiciales. De hecho, se afirmaba que había grandes diferencias entre los países en cuanto al interés por esa partida de gasto y que la apuesta por la informatización parecía estar relacionada con mejoras en el funcionamiento del sistema judicial.

Pues bien, el análisis de los datos de la justicia pone de manifiesto que los países que invierten una mayor proporción de su presupuesto en tecnologías de la información y comunicación (TIC) muestran duraciones de los procedimientos menores (véase el siguiente gráfico que muestra una nube de puntos que relaciona duración e inversión en tecnologías). Es más, también hay evidencia de que la productividad de los jueces es mayor en respuesta a la mayor proporción de presupuesto en TIC.

RELACIÓN ENTRE LA INVERSIÓN EN TECNOLOGÍAS DE LA INFORMACIÓN Y DURACIÓN DE LOS PROCEDIMIENTOS JUDICIALES (EN PRIMERA INSTANCIA)

Fuente: Palumbo et al. (2013a y 2013b)

Nota: Tanto la medida de duración de los procedimientos como la de inversión en tecnologías de la información se calculan en logaritmos. La medida de duración proviene del proyecto Doing Business del Banco Mundial.

Una cuestión central en este debate y posiblemente uno de los motivos por los que las nuevas tecnologías tienen un efecto positivo, es que el sistema judicial no es una institución separada de la sociedad. Así, no es de extrañar que la mayor productividad de los jueces se vea reforzada si hay un mayor dominio de las nuevas tecnologías por parte de los usuarios.

Este es precisamente el resultado de un estudio realizado a nivel internacional en el contexto de la OCDE: la productividad aumenta con un mayor presupuesto en informatización, pero también aumenta si hay más personas con conocimientos básicos de informática en la población. Además, ambos efectos interaccionan (se refuerzan) entre sí provocando un impacto todavía más positivo. Estas conclusiones se mantienen incluso teniendo en cuenta que los distintos sistemas judiciales se sitúan en lugares diversos en cuanto a su riqueza o su familia legal.

Otro motivo por el que la tecnificación de la justicia es beneficiosa es que permite desarrollar mejores estadísticas judiciales o al menos facilita su recopilación. A su vez, tanto la tecnificación como la disponibilidad de una buena estadística judicial permiten desplegar técnicas de gestión que parecen ser favorables para reducir los plazos de los procedimientos.

Los beneficios de la informatización de la justicia se analizan de forma detallada en el libro recién publicado “La factura de la injusticia. Sistema judicial, economía y prosperidad en España” (Editorial Tecnos, 2022) incluido en las referencias.

Juan S. Mora-Sanguinetti
Vicepresidente, ENATIC


REFERENCIAS

Palumbo, G., Giupponi, G., Nunziata, L. y J. S. Mora-Sanguinetti (2013a). “The Economics of Civil Justice: New Cross-Country Data and Empirics”. OECD Economics Department Working Papers No. 1060.

Palumbo, G., Giupponi, G., Nunziata, L. y J. S. Mora-Sanguinetti (2013b). “Judicial performance and its determinants: a cross-country perspective”. OECD Economic Policy Paper No.5.

Mora-Sanguinetti, J. S. (2022). “La factura de la injusticia. Sistema judicial, economía y prosperidad en España”. Tecnos. Madrid.


Las opiniones y las conclusiones recogidas en este artículo representan las ideas del autor, con las que no necesariamente tiene que coincidir el Banco de España o el Eurosistema.

De los memes legales a los pastiches en las leyes

Ha tardado, pero en España tenemos una nueva normativa de derechos de autor que hace hincapié en el ámbito digital de los mismos. Bueno, en realidad la transposición de la Directiva Europea de los Derechos de Autor en el Mercado Único Digital (DEMUD) ha llegado a nuestro país únicamente con cinco meses de retraso, todo un récord en comparación con los más de seis meses que tardamos en adaptar la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) en base al Reglamento General de Protección de Datos (RGPD), o los dos años que llegamos a necesitar para configurar la Ley Orgánica 7/2021 de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamientos de infracciones penales y de ejecución de sanciones penales, que respondía a las necesidades exigidas por la Directiva (UE) 2016/680, de 27 de abril de 2016, y que ha supuesto la penalización por parte de la Unión Europea con una sanción cercana a los 20 millones de euros a España. La siguiente que entra en juego es la transposición de la “Directiva Whistleblower” o Directiva (UE) 2019/1937, de 23 de octubre de 2019, relativa a la protección de las personas que denuncian infracciones de la legislación de la Unión y cuyo plazo de transposición finaliza el próximo 17 de diciembre de 2021, sin que dispongamos de demasiadas esperanzas para preparar su aterrizaje a nuestro país a tiempo, situación que nos podría servir en ENATIC para organizar una rifa entre nuestros asociados, apostando por el día en que dicha norma pueda llegar a la luz en nuestro país.

Dejando a un lado la pieza irónica de los retrasos en la composición de las distintas transposiciones y volviendo a la que da pie a este artículo, la reciente normativa referida a los derechos de autor o DEMUD, se consolida a través del Real Decreto Ley 24/2021 de 2 de noviembre, también conocido como “Ley Iceta” (en honor al ministro de cultura en el momento de la publicación de la normativa) o Ley “Pastiche” no únicamente por regular expresamente la situación de los memes en nuestro ordenamiento jurídico con tal designación (pastiches oigan), sino porque el Real Decreto no deja de ser una amalgama de trasposiciones entre las que se mezclan las directivas sobre datos abiertos y reutilización de la información del sector público, las del ejercicio de derechos de autor y derechos afines aplicables a determinadas transmisiones en línea, así como en programas de radio y televisión, o la propia relativa al derecho de autor y afines en el mercado único digital. En definitiva, un auténtico “pastiche”, señoras y señores.

La combinación de regulaciones que deberían de estar perfectamente diferenciadas en sus propias normas independientes, y actualizadas (aunque para ser justos, el Real Decreto las diferencia en distintos “Libros”, quizás por aquello de fomentar la cultura), la falta de transparencia en el proceso, y la bienvenida a la censura algorítmica por parte de la nueva regulación española, ha generado un intenso debate que lleva camino de prolongarse en el tiempo más allá de lo que hemos tardado en transponer la Directiva. Y es que en vez de abogar por un debate parlamentario, la aprobación del texto como pastiche de Real Decreto Ley ha permitido no tener que afrontar la opinión directa de los agentes sociales más activistas en materia de libertad de expresión y propiedad intelectual.

El artículo 73 del Real Decreto-Ley, que adapta el 17 de la directiva de copyright, es el que más polémica genera, al configurar a los prestadores de servicios para compartir contenidos en línea (es decir, los YouTube, Twich y compañía) cuando realizan un acto de comunicación al público o de puesta a disposición al público de obras protegidas por derechos de autor que hayan sido subidas por los propios usuarios de tales plataformas, se convierten en responsables directos del contenido compartido por los internautas, constando que tales plataformas “no se beneficiarán de la limitación de responsabilidad prevista en el artículo 16 de la Ley 34/2002, de 11 de julio”.

Por lo tanto, las plataformas que antes eran intermediarias dejan de serlo para configurarse como responsables de aquellos actos no autorizados por la normativa, y los usuarios se pueden exonerar de responsabilidad. Independientemente de que la norma mencione que las plataformas deberán de procurar los “mayores esfuerzos” y de forma “proporcional”, al final en la práctica va a resultar imposible controlar el contenido que suban los usuarios a estas plataformas salvo que se recurra al uso de algoritmos bendecidos con procedimientos de Inteligencia Artificial. Es lo que se conoce como “censura algorítimica”.

Pero además, para rizar el rizo, la normativa española se pone más exigente que la Directiva Europea, y propone un cambio que puede atentar contra la cultura de nuestro país con efectos colaterales más agresivos que los fundamentos que intenta proteger: la posibilidad de que se puedan bloquear retransmisiones en directo en internet.

Y es que los Ibai y similares, parece que no merecen la libertad propia de este tipo de streamers. En Sevilla ya estamos bastante preocupados al tener que afrontar el temor de que por culpa de este inesperado revés, nos censuren los streamings a través de dispositivos digitales de las sevillanas que bailamos en el Real de la Feria de Abril, o las retransmisiones de los pasos de Semana Santa por las plataformas digitales porque los mismos sean bloqueados y censurados cuando empiecen a tocar las distintas bandas de música, interpretando composiciones musicales que en muchos casos tienen un difícil encaje en el repertorio de la SGAE. Y es que no deja de ser un delito que a mi madre le corten la retransmisión del paso del Gran Poder, por mucho que abran la puerta a la vuelta de Google News a España o que los internautas se queden tranquilos creando y compartiendo memes siempre que no generen confusión con la obra original.

¡Qué pastiche, Dios mío!

Jesús Fernández Acevedo
Abogado, Delegado de Protección de Datos y divulgador en Cumplimiento Digital
Vocal ENATIC.

Integración de la protección de datos personales en la gestión ordinaria de los responsables del tratamiento como requisito indispensable para garantizar los derechos y libertades individuales

Hace dos semanas se publicó una resolución que sancionaba la falta de previa realización de evaluación de impacto de privacidad, que habría llevado al responsable del tratamiento a la conclusión que no se superaba la evaluación de necesidad y proporcionalidad y, por tanto, se hubiera abstenido de iniciar el tratamiento, incluso en modo de prueba voluntaria.

La guía publicada este verano por la Agencia Española de Protección de Datos, sobre gestión del riesgo y evaluación de impacto, dejaba meridianamente claro que se iniciaba una nueva fase en la que sería exigible a los responsables del tratamiento un mayor nivel de madurez en su proceder y acreditación de su responsabilidad proactiva.

En línea con lo que en su momento ya estableció el Grupo de Trabajo del Artículo 29 la mencionada guía, por un lado, nos recuerda que las evaluaciones de impacto se integran en la gestión ordinaria del riesgo de actividades de tratamiento, es decir, son actividades integradas y, por otro lado, que el enfoque debe centrarse, única y exclusivamente, en la gestión del riesgo para los derechos y libertades de las personas físicas. Es decir, son relevantes exclusivamente las amenazas para los derechos y libertades del interesado, de tal manera que la mitigación de las amenazas para el responsable del tratamiento -como la garantía de cumplimiento normativo a efectos de evitar sanciones- constituye un requisito previo indispensable a todo tratamiento de datos, pero no integra propiamente la gestión del riesgo de actividades de tratamiento.

Tanto el legislador como las autoridades de control tienen claro que el riesgo cero no existe y que todo tratamiento de datos personales -por mínimo, a modo de prueba o sencillo que sea- es susceptible de generar un riesgo para los derechos y libertades individuales y, por ello, la gestión de dicho riesgo debe integrarse, inexcusablemente, como un proceso transversal a toda la organización, resultando imprescindible el compromiso e impulso por parte del responsable del tratamiento por cuanto sobre él descansa, exclusivamente, la obligación de garantizar los derechos y libertades de los interesados.

Para conseguir que la protección de datos y su gestión del riesgo se integre en la gestión ordinaria es preciso alcanzar un nuevo nivel de madurez, distinguiendo claramente los roles que corresponden al delegado de protección de datos y al propio responsable del tratamiento. Ha sido relativamente habitual que, en una fase inicial en muchos casos superada, se considerara que “la protección de datos era cosa del delegado de protección de datos” y se le encomendara directamente tanto el diseño como la ejecución material de todas las tareas, tanto preventivas como reactivas.

Es preciso segregar, de forma efectiva, las funciones que corresponden al responsable del tratamiento y las que corresponden al delegado de protección de datos permitiéndole centrarse en su verdadero cometido: Asesorar, liderar la cultura de cumplimiento, detectar y alertar de riesgos, proponer medidas mitigadoras y supervisar su implantación y ser punto de contacto con las autoridades de control. Corresponde al responsable del tratamiento la toma de decisión y ejecución efectiva de todo cuanto sea preciso para cumplir con su obligación de garantizar los derechos y libertades de los interesados, implicando a todos sus profesionales de manera que se logre el convencimiento de que “la protección de datos es cosa de todos”.  

Solo con una adecuada segregación de las funciones que corresponden al delegado de protección de datos y al responsable del tratamiento, se puede lograr la efectiva incorporación de la protección de datos en la gestión ordinaria de toda organización y, con ello, la efectiva protección de los derechos y libertades de los interesados.

Isabel Mascaró Currás
Compliance Officer, Delegada de Protección de Datos y Vocal ENATIC.

A vueltas con las transferencias internacionales de datos a y desde Estados Unidos

Tras la sentencia Schrems II del TJUE que invalidó el Privacy Shield, los EE.UU. “contraatacan” con un proyecto de ley denominado Protegiendo los datos de los estadounidenses de la vigilancia extranjera, que propone imponer limitaciones a las transferencias de datos personales desde EE.UU. a países a los que una exportación de datos personales iría en contra de la seguridad nacional. 

Como es sabido, tras la sentencia Schrems II del TJUE que invalidó el Privacy Shield, el CEPD adoptó recomendaciones sobre medidas suplementarias para realizar transferencias internacionales de datos a países fuera de la UE / EEE, los llamados terceros países.

La recomendación adoptada contiene un sistema de varios pasos que deben llevarse a cabo para garantizar un nivel de protección “esencialmente equivalente” al que ofrece el RGPD cuando los datos se transfieren a un tercer país. El responsable del tratamiento debe evaluar si existe algún aspecto en la legislación o práctica del tercer país que impida que el encargado del tratamiento cumpla con sus obligaciones derivadas del RGPD y el mecanismo de transferencia elegido. Si el responsable del tratamiento llega a la conclusión de que la legislación o la práctica del tercer país implica que el encargado del tratamiento no puede cumplir con sus obligaciones y, por tanto, no puede garantizar una protección “esencialmente equivalente”, deben adoptarse medidas suplementarias.

A pesar de las recomendaciones citadas, subsiste una gran inseguridad jurídica en cuanto a lo que se entiende por un “nivel de protección esencialmente equivalente” y cómo conseguirlo y, más importante aún, poder acreditarlo, en la práctica.  Es de la máxima relevancia que los responsables del tratamiento y sus asesores conozcan qué entienden las autoridades de control por el término “nivel de protección esencialmente equivalente”.

Aunque las recomendaciones del CEPD hacen referencia a todo tercer estado, el TJUE ya se ha pronunciado en relación a la legislación estadounidense sobre protección de datos, a pesar de lo cual lo previsto en las recomendaciones sigue siendo de obligado cumplimiento en ese contexto.

Así las cosas, desde el Departamento de Comercio norteamericano se insiste en que el Privacy Shield y los flujos de datos transatlánticos son una prioridad para la Administración Biden. El 25 de marzo de 2021, la Secretaria de Comercio de EE.UU., Gina Raimondo, y el Comisario europeo de Justicia, Didier Reynders, emitieron una declaración conjunta en la que señalaron que “el gobierno de EE.UU. y la Comisión Europea han decidido intensificar las negociaciones en relación a obtener un mejorado marco Privacy Shield UE-EE.UU. para dar cumplimiento a la sentencia de 16 de julio de 2020 del TJUE en el caso Schrems II. Estas negociaciones subrayan nuestro compromiso compartido con la privacidad, la protección de datos y el estado de derecho y nuestro reconocimiento mutuo de la importancia de los flujos de datos transatlánticos para nuestros respectivos ciudadanos, economías y sociedades “.

El Departamento de Comercio informa, en su web, además, de que el Departamento continúa administrando el programa Privacy Shield – en el que siguen autocertificadas cientos de empresas- mientras continúan esas negociaciones.

Por su parte, los EE.UU. publican un proyecto de ley titulado “Protegiendo los datos de los estadounidenses de la vigilancia extranjera”, que propone imponer limitaciones a las transferencias de datos personales desde EE.UU. a países a los que una exportación de datos personales iría en contra de la seguridad nacional.  Por consiguiente, se pretenden requerir controles de exportación con respecto a ciertos datos personales de ciudadanos estadounidenses.

El proyecto de ley requiere, entre otros aspectos, formar una lista de categorías de información personal que pueden ser explotadas por gobiernos extranjeros; elaborar una lista de países a los que la exportación de datos personales iría en detrimento de la seguridad nacional y establecer un umbral cuantitativo para las transferencias anuales que, si se excediera, dañarían la seguridad nacional de los EE.UU.

Se prevé la imposición de controles impositivos a la exportación, reexportación o transferencia en el país de datos personales que superen los umbrales establecidos. Dichos controles  podrían incluir la necesidad de obtener una licencia o autorización.

 A la espera de saber si el proyecto de ley progresará y será aprobado y, en ese caso, conocer cuáles serán las definiciones finales de conceptos como exportación, cuáles serán los criterios de evaluación para considerar que una transferencia de datos daña o no la seguridad nacional de los EE.UU., las excepciones a los requisitos de autorización y licencia y, no menos importante, el régimen sancionador que resulte aprobado, la controversia está servida.

Belén Arribas Sánchez
Vicepresidenta de ENATIC

E-Accesibilidad y la Inteligencia Artificial: La autonomía de las personas

La accesibilidad electrónica (e-accesibilidad) tiene como objetivo lograr que el máximo número de personas puedan obtener información disponible en plataformas digitales o electrónicas de una manera perceptible, operable, comprensible y tratada por cualquier tecnología que sea robusta e interoperable, independientemente de los conocimientos o capacidades personales e independientemente de las características técnicas del equipo utilizado para acceder a la información en entornos digitales.

Sin embargo, hoy en día la accesibilidad electrónica no debe estar orientada exclusivamente a las personas con discapacidad. Con el aumento del uso de los dispositivos que permiten el acceso a internet o a la información en formato electrónico, la accesibilidad electrónica pasa a significar que el acceso a la información en soporte electrónico  debe ser universal. Cuando hablemos de e-accesibilidad  se debe hablar de establecer los recursos necesarios para garantizar un acceso universal a la información y al conocimiento, independientemente de los medios tecnológicos utilizados y las condiciones físicas, mentales, cognitivas, culturales, sociales o geográficas de cada persona.

Las normas relacionadas con la accesibilidad digital protegen los derechos de las personas para garantizar la autonomía individual y por tanto la independencia de las personas. Además, estas normas son necesarias para garantizar otros derechos, como el derecho a la información o el derecho a la educación  donde la normativa de protección de datos es uno de los instrumentos legales más importantes para que dichos derechos sean realmente efectivos

El marco normativo internacional de la accesibilidad digital tiene sus fundamentos en la Convención sobre los derechos de las personas con discapacidad que fue adoptada por la Resolución 61/106, de 13 de diciembre de 2006, de la Asamblea General de las Naciones Unidas. En dicha Convención se establecen los siguientes principios:

  • El respeto de la dignidad inherente, la autonomía individual, incluida la libertad de tomar las propias decisiones, y la independencia de las personas;
  • La no discriminación;
  • La participación e inclusión plenas y efectivas en la sociedad;
  • El respeto por la diferencia y la aceptación de las personas con discapacidad como parte de la diversidad y la condición humanas;
  • La igualdad de oportunidades;
  • La accesibilidad;
  • La igualdad entre el hombre y la mujer;
  • El respeto a la evolución de las facultades de los niños y las niñas con discapacidad y de su derecho a preservar su identidad.

Respecto a las garantías de accesibilidad electrónica y la protección de la privacidad, en la Convención se establecen las siguientes disposiciones:

Artículo 9 Accesibilidad.

g) Promover el acceso de las personas con discapacidad a los nuevos sistemas y tecnologías de la información y las comunicaciones, incluida Internet;

h) Promover el diseño, el desarrollo, la producción y la distribución de sistemas y tecnologías de la información y las comunicaciones accesibles en una etapa temprana, a fin de que estos sistemas y tecnologías sean accesibles al menor costo.

Artículo 21 Libertad de expresión y de opinión y acceso a la información.

c) Alentar a las entidades privadas que presten servicios al público en general, incluso mediante Internet, a que proporcionen información y servicios en formatos que las personas con discapacidad puedan utilizar y a los que tengan acceso;

d) Alentar a los medios de comunicación, incluidos los que suministran información a través de Internet, a que hagan que sus servicios sean accesibles para las personas con discapacidad;

Artículo 22 Respeto de la privacidad.

Ninguna persona con discapacidad, independientemente de cuál sea su lugar de residencia o su modalidad de convivencia, será objeto de injerencias arbitrarias o ilegales en su vida privada, familia, hogar, correspondencia o cualquier otro tipo de comunicación, o de agresiones ilícitas contra su honor y su reputación. Las personas con discapacidad tendrán derecho a ser protegidas por la ley frente a dichas injerencias o agresiones.

Los Estados Partes protegerán la privacidad de la información personal y relativa a la salud y a la rehabilitación de las personas con discapacidad en igualdad de condiciones con las demás.

Actualmente la UE dispone de las siguientes directivas que desarrollan dichos apartados de la Convención:

  1. Por un lado la Directiva (UE) 2016/2102 del Parlamento Europeo y del Consejo, de 26 de octubre de 2016, sobre la accesibilidad de los sitios web y aplicaciones para dispositivos móviles de los organismos del sector público.

El artículo 1 define el objetivo de esta directiva:

1. A fin de mejorar el funcionamiento del mercado interior, la presente Directiva tiene por objeto aproximar las disposiciones legales, reglamentarias y administrativas de los Estados miembros relativas a los requisitos de accesibilidad de los sitios web y aplicaciones para dispositivos móviles de los organismos del sector público, permitiendo así que dichos sitios y aplicaciones sean más accesibles para los usuarios, en particular para las personas con discapacidad.

2. La presente Directiva establece las normas por las que se exige a los Estados miembros que garanticen que los sitios web, independientemente del dispositivo empleado para acceder a ellos, y las aplicaciones para dispositivos móviles de los organismos del sector público cumplan los requisitos de accesibilidad establecidos en el artículo 4.

Dicha Directiva ya ha sido transpuesta en España por el Real Decreto 1112/2018, de 7 de septiembre de 2018.

  1. Y  la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios.

El artículo 1 define el objetivo de esta directiva:

El objetivo de la presente Directiva es contribuir al correcto funcionamiento del mercado interior mediante la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros en lo relativo a los requisitos de accesibilidad exigibles a determinados productos y servicios, en particular eliminando y evitando los obstáculos a la libre circulación de productos y servicios derivados de las divergencias en los requisitos de accesibilidad en los Estados miembros.

Los sistemas de inteligencia artificial pueden mejorar y facilitar el cumplimiento de los principios de la e-accesibilidad para cualquier colectivo de personas (por ejemplo para reconocer gestos, comportamientos, emociones o incluso analizar la actividad cerebral de las personas para que el sistema ejecute determinadas acciones). Pero dichas facilidades y funcionalidades también crean nuevos riesgos legales.

Respecto a la normativa de inteligencia artificial que será aplicable en la UE, el pasado 21 de abril de 2021 se ha publicado la Propuesta de reglamento del parlamento europeo y del consejo por el que se establecen normas armonizadas en materia de inteligencia artificial (ley de inteligencia artificial) y se modifican determinados actos legislativos de la unión.

La  Comisión Europea propone un marco reglamentario sobre inteligencia artificial (IA) con los siguientes objetivos específicos:

  • Garantizar que los sistemas de IA introducidos y usados en el mercado de la UE sean seguros y respeten la legislación vigente en materia de derechos fundamentales y valores de la Unión;
  • Garantizar la seguridad jurídica para facilitar la inversión e innovación en IA;
  • Mejorar la gobernanza y la aplicación efectiva de la legislación vigente en materia de derechos fundamentalesy los requisitos de seguridad aplicables a los sistemas de IA;
  • Facilitar el desarrollo de un mercado único para hacer un uso legal, seguro y fiable de las aplicaciones de IA y evitar la fragmentación del mercado.

La propuesta de Reglamento sigue un enfoque basado en los riesgos que distingue entre los usos de la IA que generan: i) un riesgo inaceptable, ii) un riesgo alto, y iii) un riesgo bajo o mínimo.

Respecto a los sistemas de IA inaceptables, la propuesta establece que estará prohibida la introducción en el mercado, la puesta en servicio o la utilización de un sistema de IA que aproveche alguna de las vulnerabilidades de un grupo específico de personas debido a su edad o discapacidad física o mental para alterar de manera sustancial el comportamiento de una persona que pertenezca a dicho grupo de un modo que provoque o sea probable que provoque perjuicios físicos o psicológicos a esa persona o a otra.

Para el resto de sistemas de IA no clasificados como inaceptables, se establece el principio de transparencia cuando están destinados a interactuar con personas físicas o a generar contenidos que puedan conllevar riesgos específicos de suplantación o falsificación, con independencia de si los sistemas son clasificados como de alto riesgo o no.

En particular, se establece la obligación de notificar a las personas físicas que están interactuando con un sistema de IA, salvo que sea evidente por las circunstancias y el contexto de uso, y deben ser informadas cuando estén expuestas a un sistema de reconocimiento de emociones o a un sistema de categorización biométrica y por tanto, especialmente se establece la obligación de facilitarse esta información y estas notificaciones en formatos accesibles para las personas con discapacidad.

Todo ello sin olvidarnos de aplicar el principio de transparencia del artículo 5 y el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en la persona física afectada o le afecte significativamente de modo similar, del artículo 22 del Reglamento General de Protección de Datos (RGPD).

Si se percibe interés por este tema, en otro artículo abordaré las posibles obligaciones jurídicas y técnicas contempladas en las normativas de e-accesibilidad, inteligencia artificial, ciberseguridad y protección de datos para que los proveedores, usuarios o cualquier entidad pública o privada pueda desarrollar legalmente sus sistemas de inteligencia artificial o plataformas digitales que permitan el acceso universal a la información y el conocimiento.

Eduardo López-Román
Abogado especializado en Derecho Digital y DPD, Vocal de ENATIC.

Compliance tecnológico: Cinco retos para la temporada 2021/22

Después de un verano tan deseado, comenzamos una nueva temporada trepidante y llena de retos y objetivos dentro del mundo del Derecho Digital. A continuación, indico algunos de esos aspectos que considero que van a plantearnos una importante dedicación a los profesionales que nos dedicamos a ayudar a las organizaciones a cumplir las normas, mitigar sus riesgos y aportar eficiencia a los nuevos negocios y operaciones digitales:

  • Reto 1. Legal Risk mapping: Cada vez resulta más complicado en organizaciones de cierto tamaño tener un mapa visual que nos ofrezca información clara de qué normas nos aplican, qué grado de madurez de cumplimiento tenemos en cada una de ellas, qué controles o medidas son comunes para cumplir varias normas, etc.

    La presión normativa a las que las empresas están sometidas es abrumadora, en asuntos generales y, en particular, en asuntos digitales. En muchas compañías se genera algún tipo de estudio de aplicabilidad normativa impulsado por Legal, Compliance, DPO, etc. que, en muchos casos, pronto queda obsoleto y pierde valor.

    En cambio, desde los Board cada vez existe más preocupación por el impacto que los incumplimientos normativos pueden tener en la empresa, ya sea por las sanciones o barreras de negocio que puedan representar, como por el impacto reputacional.

    Por ello, resulta conveniente trabajar en la realización y actualización de estos legal risk mapping:
    • con detalle del alcance, operaciones o servicios de la compañía donde nos aplican,
    • que refleje los indicadores y evidencias de cumplimiento necesarias para tener en tiempo real un termómetro de Compliance Tecnológico,
    • que establezca el grado de madurez y cumplimiento de los diferentes requisitos normativos y nos ayude a saber dónde trabajar y con qué medios para mitigar los riesgos más representativos,
    • con capacidad de absorber los nuevos requisitos y obligaciones que van a venir impuestas por reciente o inminente normativa (ENS, NIS, DORA, nuevos criterios RGPD, Derechos Digitales, Cookies, nueva ley sobre canales de denuncia y protección de alertadores, reconocimiento facial, etc.)
  • Reto 2. Uso de inteligencia artificial en procesos de la compañía: El uso de procesos de inteligencia artificial se está extendiendo poco a poco en todas las áreas de una organización.

    Si bien inicialmente se aplicó a la gestión de clientes, mejorar su perfilado y segmentación, predecir hábitos de consumo o preferencias, actualmente las áreas de RRHH, operaciones, administración y financiero, legal, etc. también se están apuntando al uso de tecnologías y herramientas que utilizan la Inteligencia Artificial.

    En este sentido, será fundamental participar y asesorar como profesionales de derecho digital en tales proyectos desde dos diferentes enfoques:
    • Comprobar que el uso de IA está alineado a las buenas prácticas internacionales que se han publicado desde diferentes instituciones (trazabilidad, auditoría, calidad de algoritmos, etc.), así como alinearlo a los criterios de la futura normativa europea que ya se ha planteado por la Comisión Europea. Por supuesto, uno de los retos es la protección de los derechos de los individuos y que el uso de IA no vulnere los mismos en términos de igualdad, privacidad, etc.

      En este sentido, España publicó noviembre de 2020 una Estrategia Nacional de Inteligencia Artificial donde uno de sus 6 ejes estratégicos es el de “establecer una marco ético y normativo que refuerce la protección de los derechos individuales y colectivos, a efectos de garantizar la inclusión y el bienestar social”.
    • Protección de intangibles por la aplicación de IA en procesos de negocio, es decir, proteger los algoritmos creados o licenciados, los resultados y datos generados por aplicación de la IA, secretos comerciales, viabilidad para comercializar información disociada, etc.
  • Reto 3. Gobierno del camino al Cloud: Sin duda muchísimas organizaciones llevan tiempo contratando más y más servicios en Cloud, trasladando gran parte de su IT a la nube, ya sea en modo IaaS, PaaS, SaaS, etc. y la tendencia es seguir haciéndolo en mayor medida.

    Las implicaciones a nivel legal, de riesgos y cumplimiento son muy diversas en ese “journey to Cloud”, y a la vez muy diferentes de un modelo de internalización de la tecnología, en aspectos como la responsabilidad contractual del proveedor, el control de los datos, los riesgos de ciberseguridad, la gestión de evidencias de cumplimiento, Auditorías y supervisión por terceros o por Autoridades de Control, licenciamiento de software y modo servicio, gestión de crisis y brechas de seguridad, plan de salida y cambio de proveedor, etc.

    Por todo ello, se hace más necesario que nunca diseñar e implantar un sistema de Gobierno para el Cloud en cada organización, donde se definan los roles, responsabilidades y jerarquías en las variadas tomas de decisión que hay que tomar y que pueden conllevar importantes impactos para la compañía en términos de ineficiencia, asunción de riesgos, mayor coste en la factura del proveedor, problemas de seguridad, falta de coordinación interna, etc.

    Es necesario quitarse de la cabeza que ir a la Cloud es igual a desalojar todo tipo de responsabilidades en la compañía y que esa responsabilidad es asumida por el proveedor de manera íntegra. Es vital dotarse de esas políticas y procedimientos internos sobre Cloud para una mejor gestión de la contratación, monitorización y mantenimiento, cálculo de ahorro económico, mejor interlocución con el proveedor, mayor mitigación de riesgos, mejor control de eventuales crisis…
  • Reto 4. Implantación de Legaltech: Se habla mucho de Legaltech, de su mercado floreciente y de lo que aporta la digitalización y la incorporación de tecnologías en la función de las áreas legales, de Compliance y de Riesgos.

    Pero considero que es necesario dar un paso más y sacar todo el partido a las posibilidades que muchas herramientas nos ofrecen. En muchas organizaciones apenas se han implantado ninguno de estos sistemas o se limitan a gestores documentales, de expedientes, bases de datos, y otros productos de estas características.

    En algunas grandes corporaciones ya podemos ver cómo se han incorporado a los equipos legales y de Compliance expertos en tecnologías que ayudan a valorar la oferta de mercado, realizar demos y pilotos, liderar la implantación de las tecnologías seleccionadas, hacer un seguimiento de su utilidad y uso a través de indicadores, etc.

    En esta temporada 21/22 creo que debemos dar un paso de madurez y apostar por tecnologías Legaltech más disruptivas (y muy testeadas) que incorporan machine learning e IA y cuya aportación es enorme para una Asesoría en términos de valor añadido, capacidad de gestión de riesgos legales, ahorro de tiempo de los equipos, visión holística del estado de la compañía a nivel legal, capacidad de report a Dirección y Consejo, mejor relación e interlocución con áreas de negocio y con empleados, mejor control de medidas legales en los procesos de negocio, etc.
  • Reto 5. Apoyo continuo en la Transformación Digital: Considero que ya era un reto en la temporada anterior 20/21, y quizá lo siga siendo en la siguiente. Y es que los profesionales del Derecho Digital deben estar al lado de las áreas de IT y las oficinas de Transformación Digital, ya que los retos a los que se enfrenta la organización son enormes.

    Resulta fundamental conocer el diseño de los nuevos procesos, de la incorporación de tecnologías, del tratamiento de los datos, etc. que se pretende realizar en la organización, ya que el impacto legal es muy grande en aspectos como las responsabilidades contractuales, el cumplimiento de la normativa de protección de datos, propiedad intelectual e industrial, la protección de activos intangibles, la ciberseguridad, etc.

    Para terminar, resulta necesario implantar un sistema de “legal by design” y poder dar esa cobertura legal de manera continua desde que se diseña ese nuevo producto o servicio, pero además resulta necesario establecer un buen sistema de gestión que facilite internamente los análisis de riesgos legales, la custodia de evidencias de cumplimiento y control, la monitorización de controles legales en el avance del proyecto, etc.

Hay muchos más retos para los profesionales del derecho digital, pero he querido hacer mención a estos cinco que considero los más fascinantes que se nos plantean para los próximos meses.

Mucho ánimo y salud compañer@s para enfrentarnos a esta temporada 2021/22.

Carlos A. Saiz
Presidente de ENATIC y socio de Ecix Group

Directrices 07/2020 del EDPB sobre los conceptos de responsable y encargado del tratamiento en el RGPD

El CEPD (EDPB, en inglés) ha publicado recientemente las Directrices 07/2020 sobre los conceptos de responsable y encargado del tratamiento en el RGPD, versión 1.0, adoptada el 2 de septiembre de 2020. El texto completo se puede encontrar aquí.

Estas Directrices estuvieron abiertas a consulta pública de septiembre a octubre de 2020 y el CEPD recibió más de un centenar de documentos con comentarios. Los mismos están disponibles en línea en la web del CEPD. Es probable que se publique una nueva versión a corto plazo pero, mientras tanto, los profesionales de la privacidad a menudo recurrimos a estas relevantes Directrices en busca de orientación para resolver asuntos complejos de nuestros clientes relacionados, entre otras cosas, con las relaciones entre grupos de empresas.

Las Directrices son extraordinariamente largas y detalladas (48 páginas).  Ofrecemos aquí nuestra selección de las pautas que ofrecen información relevante para entornos de grupos de empresas:

  • (…) Los conceptos de responsable del tratamiento, corresponsables y encargado del tratamiento son conceptos funcionales en el sentido de que tienen como objetivo asignar responsabilidades de acuerdo con los roles reales de las partes y son conceptos autónomos en el sentido de que deben interpretarse principalmente de acuerdo con la normativa europea de protección de datos.
  • En principio, no existe limitación en cuanto al tipo de entidad que puede asumir el rol de responsable, pero en la práctica suele ser la organización como tal, y no un individuo dentro de la organización (como el CEO, un empleado o un administrador), que actúa como responsable. Un responsable del tratamiento es un organismo que decide determinados elementos clave del tratamiento.
  • La condición de responsable puede estar definida por ley o puede provenir de un análisis de los elementos fácticos o circunstancias del caso. Ciertas actividades de tratamiento pueden verse naturalmente vinculadas al rol de una entidad (un empresario para los empleados, un editor para los suscriptores o una asociación para sus miembros). En muchos casos, los términos de un contrato pueden ayudar a identificar al responsable del tratamiento, aunque no son decisivos en todas las circunstancias.
  • Un responsable determina los fines y los medios del tratamiento, es decir, el por qué y el cómo del tratamiento. El responsable del tratamiento debe decidir sobre estos aspectos. Sin embargo, algunos aspectos más prácticos de la implementación (“medios no esenciales”) pueden dejarse al encargado. No es necesario que el responsable del tratamiento tenga realmente acceso a los datos que se están procesando para ser calificado como responsable del tratamiento.
  • Puede haber situaciones en las que varios actores traten sucesivamente los mismos datos personales en una cadena de operaciones, teniendo cada uno de estos actores un propósito independiente y medios independientes en su parte de la cadena. En ausencia de una participación conjunta en la determinación de los fines y medios de la misma operación de tratamiento o conjunto de operaciones, debe excluirse la corresponsabilidad y los diversos actores deben considerarse como responsables independientes sucesivos.
  • El tratamiento de datos personales puede implicar a múltiples encargados. Por ejemplo, un responsable puede optar por involucrar directamente a múltiples encargados o involucrar a diferentes encargados en etapas separadas del tratamiento (múltiples encargados). Un responsable también puede decidir contratar a un encargado, quien a su vez, con la autorización del responsable, contrata a uno o más encargados (“subencargados”). La actividad de tratamiento confiada al encargado puede estar limitada a una tarea o contexto muy específico o puede ser más general y extensa.
  • Una entidad separada significa que el responsable decide delegar todas o parte de las actividades de tratamiento a una organización externa. Dentro de un grupo de empresas, una empresa puede ser un encargado de otra empresa que actúa como responsable, ya que ambas empresas son entidades independientes.
  • Si el responsable del tratamiento decide tratar los datos por sí mismo, utilizando sus propios recursos dentro de su organización, por ejemplo, a través de su propio personal, ésta no es una situación del encargado.
  • El tratamiento de datos personales en nombre del responsable requiere, en primer lugar, que la entidad tercera trate los datos personales en beneficio del responsable. En el artículo 4 (2), el tratamiento se define como un concepto que incluye una amplia gama de operaciones que van desde la recopilación, el almacenamiento y la consulta hasta el uso, la difusión o la puesta a disposición y la destrucción. En la práctica, esto significa que todo tratamiento imaginable de datos personales constituye un tratamiento.
  • El tratamiento debe realizarse en nombre de un responsable, pero de otra manera que bajo su autoridad o control directo. Actuar “en nombre de” significa servir a los intereses de otra persona y recuerda el concepto legal de “delegación”. En el caso de la legislación de protección de datos, un encargado está llamado a implementar las instrucciones dadas por el responsable al menos con respecto al fin del tratamiento y los elementos esenciales de los medios.
  • La licitud del tratamiento de acuerdo con el Artículo 6 y, en su caso, el Artículo 9 del Reglamento, se derivará de la actividad del responsable y el encargado no debe tratar los datos de otra manera que de acuerdo con las instrucciones del responsable. Aun así, como se describió anteriormente, las instrucciones del responsable aún pueden dejar cierto grado de discreción sobre cómo servir mejor a los intereses del responsable, permitiendo que el encargado elija los medios técnicos y organizativos más adecuados.

Por último, resulta muy útil la consulta del diagrama de flujo en el Anexo I (Diagrama de flujo para aplicar los conceptos de responsable, encargado y corresponsables en la práctica) pues puede ayudar a analizar un escenario complejo, por ejemplo, el caso de un grupo de empresas de estructura  sofisticada y sus operaciones de tratamiento y flujos de datos.

Belén Arribas Sánchez
Vicepresidenta de ENATIC