La factura de la injusticia: ¿Qué perderíamos si no se apostara por digitalizar el sistema judicial?

/0 Comentarios/en /por

En un artículo anterior titulado “Los presupuestos de justicia en el mundo y sus grandes diferencias en cuanto a digitalización” se señalaba que uno de los posibles destinos del presupuesto invertido en la justicia era la informatización o tecnificación de los órganos judiciales. De hecho, se afirmaba que había grandes diferencias entre los países en cuanto al interés por esa partida de gasto y que la apuesta por la informatización parecía estar relacionada con mejoras en el funcionamiento del sistema judicial.

Pues bien, el análisis de los datos de la justicia pone de manifiesto que los países que invierten una mayor proporción de su presupuesto en tecnologías de la información y comunicación (TIC) muestran duraciones de los procedimientos menores (véase el siguiente gráfico que muestra una nube de puntos que relaciona duración e inversión en tecnologías). Es más, también hay evidencia de que la productividad de los jueces es mayor en respuesta a la mayor proporción de presupuesto en TIC.

RELACIÓN ENTRE LA INVERSIÓN EN TECNOLOGÍAS DE LA INFORMACIÓN Y DURACIÓN DE LOS PROCEDIMIENTOS JUDICIALES (EN PRIMERA INSTANCIA)

Fuente: Palumbo et al. (2013a y 2013b)

Nota: Tanto la medida de duración de los procedimientos como la de inversión en tecnologías de la información se calculan en logaritmos. La medida de duración proviene del proyecto Doing Business del Banco Mundial.

Una cuestión central en este debate y posiblemente uno de los motivos por los que las nuevas tecnologías tienen un efecto positivo, es que el sistema judicial no es una institución separada de la sociedad. Así, no es de extrañar que la mayor productividad de los jueces se vea reforzada si hay un mayor dominio de las nuevas tecnologías por parte de los usuarios.

Este es precisamente el resultado de un estudio realizado a nivel internacional en el contexto de la OCDE: la productividad aumenta con un mayor presupuesto en informatización, pero también aumenta si hay más personas con conocimientos básicos de informática en la población. Además, ambos efectos interaccionan (se refuerzan) entre sí provocando un impacto todavía más positivo. Estas conclusiones se mantienen incluso teniendo en cuenta que los distintos sistemas judiciales se sitúan en lugares diversos en cuanto a su riqueza o su familia legal.

Otro motivo por el que la tecnificación de la justicia es beneficiosa es que permite desarrollar mejores estadísticas judiciales o al menos facilita su recopilación. A su vez, tanto la tecnificación como la disponibilidad de una buena estadística judicial permiten desplegar técnicas de gestión que parecen ser favorables para reducir los plazos de los procedimientos.

Los beneficios de la informatización de la justicia se analizan de forma detallada en el libro recién publicado “La factura de la injusticia. Sistema judicial, economía y prosperidad en España” (Editorial Tecnos, 2022) incluido en las referencias.

Juan S. Mora-Sanguinetti
Vicepresidente, ENATIC

REFERENCIAS

Palumbo, G., Giupponi, G., Nunziata, L. y J. S. Mora-Sanguinetti (2013a). “The Economics of Civil Justice: New Cross-Country Data and Empirics”. OECD Economics Department Working Papers No. 1060.

Palumbo, G., Giupponi, G., Nunziata, L. y J. S. Mora-Sanguinetti (2013b). “Judicial performance and its determinants: a cross-country perspective”. OECD Economic Policy Paper No.5.

Mora-Sanguinetti, J. S. (2022). “La factura de la injusticia. Sistema judicial, economía y prosperidad en España”. Tecnos. Madrid.

Las opiniones y las conclusiones recogidas en este artículo representan las ideas del autor, con las que no necesariamente tiene que coincidir el Banco de España o el Eurosistema.

De los memes legales a los pastiches en las leyes

/0 Comentarios/en /por

Ha tardado, pero en España tenemos una nueva normativa de derechos de autor que hace hincapié en el ámbito digital de los mismos. Bueno, en realidad la transposición de la Directiva Europea de los Derechos de Autor en el Mercado Único Digital (DEMUD) ha llegado a nuestro país únicamente con cinco meses de retraso, todo un récord en comparación con los más de seis meses que tardamos en adaptar la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) en base al Reglamento General de Protección de Datos (RGPD), o los dos años que llegamos a necesitar para configurar la Ley Orgánica 7/2021 de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamientos de infracciones penales y de ejecución de sanciones penales, que respondía a las necesidades exigidas por la Directiva (UE) 2016/680, de 27 de abril de 2016, y que ha supuesto la penalización por parte de la Unión Europea con una sanción cercana a los 20 millones de euros a España. La siguiente que entra en juego es la transposición de la «Directiva Whistleblower» o Directiva (UE) 2019/1937, de 23 de octubre de 2019, relativa a la protección de las personas que denuncian infracciones de la legislación de la Unión y cuyo plazo de transposición finaliza el próximo 17 de diciembre de 2021, sin que dispongamos de demasiadas esperanzas para preparar su aterrizaje a nuestro país a tiempo, situación que nos podría servir en ENATIC para organizar una rifa entre nuestros asociados, apostando por el día en que dicha norma pueda llegar a la luz en nuestro país.

Dejando a un lado la pieza irónica de los retrasos en la composición de las distintas transposiciones y volviendo a la que da pie a este artículo, la reciente normativa referida a los derechos de autor o DEMUD, se consolida a través del Real Decreto Ley 24/2021 de 2 de noviembre, también conocido como “Ley Iceta” (en honor al ministro de cultura en el momento de la publicación de la normativa) o Ley “Pastiche” no únicamente por regular expresamente la situación de los memes en nuestro ordenamiento jurídico con tal designación (pastiches oigan), sino porque el Real Decreto no deja de ser una amalgama de trasposiciones entre las que se mezclan las directivas sobre datos abiertos y reutilización de la información del sector público, las del ejercicio de derechos de autor y derechos afines aplicables a determinadas transmisiones en línea, así como en programas de radio y televisión, o la propia relativa al derecho de autor y afines en el mercado único digital. En definitiva, un auténtico “pastiche”, señoras y señores.

La combinación de regulaciones que deberían de estar perfectamente diferenciadas en sus propias normas independientes, y actualizadas (aunque para ser justos, el Real Decreto las diferencia en distintos “Libros”, quizás por aquello de fomentar la cultura), la falta de transparencia en el proceso, y la bienvenida a la censura algorítmica por parte de la nueva regulación española, ha generado un intenso debate que lleva camino de prolongarse en el tiempo más allá de lo que hemos tardado en transponer la Directiva. Y es que en vez de abogar por un debate parlamentario, la aprobación del texto como pastiche de Real Decreto Ley ha permitido no tener que afrontar la opinión directa de los agentes sociales más activistas en materia de libertad de expresión y propiedad intelectual.

El artículo 73 del Real Decreto-Ley, que adapta el 17 de la directiva de copyright, es el que más polémica genera, al configurar a los prestadores de servicios para compartir contenidos en línea (es decir, los YouTube, Twich y compañía) cuando realizan un acto de comunicación al público o de puesta a disposición al público de obras protegidas por derechos de autor que hayan sido subidas por los propios usuarios de tales plataformas, se convierten en responsables directos del contenido compartido por los internautas, constando que tales plataformas «no se beneficiarán de la limitación de responsabilidad prevista en el artículo 16 de la Ley 34/2002, de 11 de julio».

Por lo tanto, las plataformas que antes eran intermediarias dejan de serlo para configurarse como responsables de aquellos actos no autorizados por la normativa, y los usuarios se pueden exonerar de responsabilidad. Independientemente de que la norma mencione que las plataformas deberán de procurar los “mayores esfuerzos” y de forma “proporcional”, al final en la práctica va a resultar imposible controlar el contenido que suban los usuarios a estas plataformas salvo que se recurra al uso de algoritmos bendecidos con procedimientos de Inteligencia Artificial. Es lo que se conoce como “censura algorítimica”.

Pero además, para rizar el rizo, la normativa española se pone más exigente que la Directiva Europea, y propone un cambio que puede atentar contra la cultura de nuestro país con efectos colaterales más agresivos que los fundamentos que intenta proteger: la posibilidad de que se puedan bloquear retransmisiones en directo en internet.

Y es que los Ibai y similares, parece que no merecen la libertad propia de este tipo de streamers. En Sevilla ya estamos bastante preocupados al tener que afrontar el temor de que por culpa de este inesperado revés, nos censuren los streamings a través de dispositivos digitales de las sevillanas que bailamos en el Real de la Feria de Abril, o las retransmisiones de los pasos de Semana Santa por las plataformas digitales porque los mismos sean bloqueados y censurados cuando empiecen a tocar las distintas bandas de música, interpretando composiciones musicales que en muchos casos tienen un difícil encaje en el repertorio de la SGAE. Y es que no deja de ser un delito que a mi madre le corten la retransmisión del paso del Gran Poder, por mucho que abran la puerta a la vuelta de Google News a España o que los internautas se queden tranquilos creando y compartiendo memes siempre que no generen confusión con la obra original.

¡Qué pastiche, Dios mío!

Jesús Fernández Acevedo
Abogado, Delegado de Protección de Datos y divulgador en Cumplimiento Digital
Vocal ENATIC.

Integración de la protección de datos personales en la gestión ordinaria de los responsables del tratamiento como requisito indispensable para garantizar los derechos y libertades individuales

/0 Comentarios/en /por

Hace dos semanas se publicó una resolución que sancionaba la falta de previa realización de evaluación de impacto de privacidad, que habría llevado al responsable del tratamiento a la conclusión que no se superaba la evaluación de necesidad y proporcionalidad y, por tanto, se hubiera abstenido de iniciar el tratamiento, incluso en modo de prueba voluntaria.

La guía publicada este verano por la Agencia Española de Protección de Datos, sobre gestión del riesgo y evaluación de impacto, dejaba meridianamente claro que se iniciaba una nueva fase en la que sería exigible a los responsables del tratamiento un mayor nivel de madurez en su proceder y acreditación de su responsabilidad proactiva.

En línea con lo que en su momento ya estableció el Grupo de Trabajo del Artículo 29 la mencionada guía, por un lado, nos recuerda que las evaluaciones de impacto se integran en la gestión ordinaria del riesgo de actividades de tratamiento, es decir, son actividades integradas y, por otro lado, que el enfoque debe centrarse, única y exclusivamente, en la gestión del riesgo para los derechos y libertades de las personas físicas. Es decir, son relevantes exclusivamente las amenazas para los derechos y libertades del interesado, de tal manera que la mitigación de las amenazas para el responsable del tratamiento -como la garantía de cumplimiento normativo a efectos de evitar sanciones- constituye un requisito previo indispensable a todo tratamiento de datos, pero no integra propiamente la gestión del riesgo de actividades de tratamiento.

Tanto el legislador como las autoridades de control tienen claro que el riesgo cero no existe y que todo tratamiento de datos personales -por mínimo, a modo de prueba o sencillo que sea- es susceptible de generar un riesgo para los derechos y libertades individuales y, por ello, la gestión de dicho riesgo debe integrarse, inexcusablemente, como un proceso transversal a toda la organización, resultando imprescindible el compromiso e impulso por parte del responsable del tratamiento por cuanto sobre él descansa, exclusivamente, la obligación de garantizar los derechos y libertades de los interesados.

Para conseguir que la protección de datos y su gestión del riesgo se integre en la gestión ordinaria es preciso alcanzar un nuevo nivel de madurez, distinguiendo claramente los roles que corresponden al delegado de protección de datos y al propio responsable del tratamiento. Ha sido relativamente habitual que, en una fase inicial en muchos casos superada, se considerara que “la protección de datos era cosa del delegado de protección de datos” y se le encomendara directamente tanto el diseño como la ejecución material de todas las tareas, tanto preventivas como reactivas.

Es preciso segregar, de forma efectiva, las funciones que corresponden al responsable del tratamiento y las que corresponden al delegado de protección de datos permitiéndole centrarse en su verdadero cometido: Asesorar, liderar la cultura de cumplimiento, detectar y alertar de riesgos, proponer medidas mitigadoras y supervisar su implantación y ser punto de contacto con las autoridades de control. Corresponde al responsable del tratamiento la toma de decisión y ejecución efectiva de todo cuanto sea preciso para cumplir con su obligación de garantizar los derechos y libertades de los interesados, implicando a todos sus profesionales de manera que se logre el convencimiento de que “la protección de datos es cosa de todos”.  

Solo con una adecuada segregación de las funciones que corresponden al delegado de protección de datos y al responsable del tratamiento, se puede lograr la efectiva incorporación de la protección de datos en la gestión ordinaria de toda organización y, con ello, la efectiva protección de los derechos y libertades de los interesados.

Isabel Mascaró Currás
Compliance Officer, Delegada de Protección de Datos y Vocal ENATIC.

A vueltas con las transferencias internacionales de datos a y desde Estados Unidos

/0 Comentarios/en /por

Tras la sentencia Schrems II del TJUE que invalidó el Privacy Shield, los EE.UU. “contraatacan” con un proyecto de ley denominado Protegiendo los datos de los estadounidenses de la vigilancia extranjera, que propone imponer limitaciones a las transferencias de datos personales desde EE.UU. a países a los que una exportación de datos personales iría en contra de la seguridad nacional. 

Como es sabido, tras la sentencia Schrems II del TJUE que invalidó el Privacy Shield, el CEPD adoptó recomendaciones sobre medidas suplementarias para realizar transferencias internacionales de datos a países fuera de la UE / EEE, los llamados terceros países.

La recomendación adoptada contiene un sistema de varios pasos que deben llevarse a cabo para garantizar un nivel de protección «esencialmente equivalente» al que ofrece el RGPD cuando los datos se transfieren a un tercer país. El responsable del tratamiento debe evaluar si existe algún aspecto en la legislación o práctica del tercer país que impida que el encargado del tratamiento cumpla con sus obligaciones derivadas del RGPD y el mecanismo de transferencia elegido. Si el responsable del tratamiento llega a la conclusión de que la legislación o la práctica del tercer país implica que el encargado del tratamiento no puede cumplir con sus obligaciones y, por tanto, no puede garantizar una protección «esencialmente equivalente», deben adoptarse medidas suplementarias.

A pesar de las recomendaciones citadas, subsiste una gran inseguridad jurídica en cuanto a lo que se entiende por un “nivel de protección esencialmente equivalente” y cómo conseguirlo y, más importante aún, poder acreditarlo, en la práctica.  Es de la máxima relevancia que los responsables del tratamiento y sus asesores conozcan qué entienden las autoridades de control por el término «nivel de protección esencialmente equivalente».

Aunque las recomendaciones del CEPD hacen referencia a todo tercer estado, el TJUE ya se ha pronunciado en relación a la legislación estadounidense sobre protección de datos, a pesar de lo cual lo previsto en las recomendaciones sigue siendo de obligado cumplimiento en ese contexto.

Así las cosas, desde el Departamento de Comercio norteamericano se insiste en que el Privacy Shield y los flujos de datos transatlánticos son una prioridad para la Administración Biden. El 25 de marzo de 2021, la Secretaria de Comercio de EE.UU., Gina Raimondo, y el Comisario europeo de Justicia, Didier Reynders, emitieron una declaración conjunta en la que señalaron que “el gobierno de EE.UU. y la Comisión Europea han decidido intensificar las negociaciones en relación a obtener un mejorado marco Privacy Shield UE-EE.UU. para dar cumplimiento a la sentencia de 16 de julio de 2020 del TJUE en el caso Schrems II. Estas negociaciones subrayan nuestro compromiso compartido con la privacidad, la protección de datos y el estado de derecho y nuestro reconocimiento mutuo de la importancia de los flujos de datos transatlánticos para nuestros respectivos ciudadanos, economías y sociedades «.

El Departamento de Comercio informa, en su web, además, de que el Departamento continúa administrando el programa Privacy Shield – en el que siguen autocertificadas cientos de empresas- mientras continúan esas negociaciones.

Por su parte, los EE.UU. publican un proyecto de ley titulado “Protegiendo los datos de los estadounidenses de la vigilancia extranjera”, que propone imponer limitaciones a las transferencias de datos personales desde EE.UU. a países a los que una exportación de datos personales iría en contra de la seguridad nacional.  Por consiguiente, se pretenden requerir controles de exportación con respecto a ciertos datos personales de ciudadanos estadounidenses.

El proyecto de ley requiere, entre otros aspectos, formar una lista de categorías de información personal que pueden ser explotadas por gobiernos extranjeros; elaborar una lista de países a los que la exportación de datos personales iría en detrimento de la seguridad nacional y establecer un umbral cuantitativo para las transferencias anuales que, si se excediera, dañarían la seguridad nacional de los EE.UU.

Se prevé la imposición de controles impositivos a la exportación, reexportación o transferencia en el país de datos personales que superen los umbrales establecidos. Dichos controles  podrían incluir la necesidad de obtener una licencia o autorización.

 A la espera de saber si el proyecto de ley progresará y será aprobado y, en ese caso, conocer cuáles serán las definiciones finales de conceptos como exportación, cuáles serán los criterios de evaluación para considerar que una transferencia de datos daña o no la seguridad nacional de los EE.UU., las excepciones a los requisitos de autorización y licencia y, no menos importante, el régimen sancionador que resulte aprobado, la controversia está servida.

Belén Arribas Sánchez
Vicepresidenta de ENATIC

E-Accesibilidad y la Inteligencia Artificial: La autonomía de las personas

/0 Comentarios/en /por

La accesibilidad electrónica (e-accesibilidad) tiene como objetivo lograr que el máximo número de personas puedan obtener información disponible en plataformas digitales o electrónicas de una manera perceptible, operable, comprensible y tratada por cualquier tecnología que sea robusta e interoperable, independientemente de los conocimientos o capacidades personales e independientemente de las características técnicas del equipo utilizado para acceder a la información en entornos digitales.

Sin embargo, hoy en día la accesibilidad electrónica no debe estar orientada exclusivamente a las personas con discapacidad. Con el aumento del uso de los dispositivos que permiten el acceso a internet o a la información en formato electrónico, la accesibilidad electrónica pasa a significar que el acceso a la información en soporte electrónico  debe ser universal. Cuando hablemos de e-accesibilidad  se debe hablar de establecer los recursos necesarios para garantizar un acceso universal a la información y al conocimiento, independientemente de los medios tecnológicos utilizados y las condiciones físicas, mentales, cognitivas, culturales, sociales o geográficas de cada persona.

Las normas relacionadas con la accesibilidad digital protegen los derechos de las personas para garantizar la autonomía individual y por tanto la independencia de las personas. Además, estas normas son necesarias para garantizar otros derechos, como el derecho a la información o el derecho a la educación  donde la normativa de protección de datos es uno de los instrumentos legales más importantes para que dichos derechos sean realmente efectivos

El marco normativo internacional de la accesibilidad digital tiene sus fundamentos en la Convención sobre los derechos de las personas con discapacidad que fue adoptada por la Resolución 61/106, de 13 de diciembre de 2006, de la Asamblea General de las Naciones Unidas. En dicha Convención se establecen los siguientes principios:

  • El respeto de la dignidad inherente, la autonomía individual, incluida la libertad de tomar las propias decisiones, y la independencia de las personas;
  • La no discriminación;
  • La participación e inclusión plenas y efectivas en la sociedad;
  • El respeto por la diferencia y la aceptación de las personas con discapacidad como parte de la diversidad y la condición humanas;
  • La igualdad de oportunidades;
  • La accesibilidad;
  • La igualdad entre el hombre y la mujer;
  • El respeto a la evolución de las facultades de los niños y las niñas con discapacidad y de su derecho a preservar su identidad.

Respecto a las garantías de accesibilidad electrónica y la protección de la privacidad, en la Convención se establecen las siguientes disposiciones:

Artículo 9 Accesibilidad.

g) Promover el acceso de las personas con discapacidad a los nuevos sistemas y tecnologías de la información y las comunicaciones, incluida Internet;

h) Promover el diseño, el desarrollo, la producción y la distribución de sistemas y tecnologías de la información y las comunicaciones accesibles en una etapa temprana, a fin de que estos sistemas y tecnologías sean accesibles al menor costo.

Artículo 21 Libertad de expresión y de opinión y acceso a la información.

c) Alentar a las entidades privadas que presten servicios al público en general, incluso mediante Internet, a que proporcionen información y servicios en formatos que las personas con discapacidad puedan utilizar y a los que tengan acceso;

d) Alentar a los medios de comunicación, incluidos los que suministran información a través de Internet, a que hagan que sus servicios sean accesibles para las personas con discapacidad;

Artículo 22 Respeto de la privacidad.

Ninguna persona con discapacidad, independientemente de cuál sea su lugar de residencia o su modalidad de convivencia, será objeto de injerencias arbitrarias o ilegales en su vida privada, familia, hogar, correspondencia o cualquier otro tipo de comunicación, o de agresiones ilícitas contra su honor y su reputación. Las personas con discapacidad tendrán derecho a ser protegidas por la ley frente a dichas injerencias o agresiones.

Los Estados Partes protegerán la privacidad de la información personal y relativa a la salud y a la rehabilitación de las personas con discapacidad en igualdad de condiciones con las demás.

Actualmente la UE dispone de las siguientes directivas que desarrollan dichos apartados de la Convención:

  1. Por un lado la Directiva (UE) 2016/2102 del Parlamento Europeo y del Consejo, de 26 de octubre de 2016, sobre la accesibilidad de los sitios web y aplicaciones para dispositivos móviles de los organismos del sector público.

El artículo 1 define el objetivo de esta directiva:

1. A fin de mejorar el funcionamiento del mercado interior, la presente Directiva tiene por objeto aproximar las disposiciones legales, reglamentarias y administrativas de los Estados miembros relativas a los requisitos de accesibilidad de los sitios web y aplicaciones para dispositivos móviles de los organismos del sector público, permitiendo así que dichos sitios y aplicaciones sean más accesibles para los usuarios, en particular para las personas con discapacidad.

2. La presente Directiva establece las normas por las que se exige a los Estados miembros que garanticen que los sitios web, independientemente del dispositivo empleado para acceder a ellos, y las aplicaciones para dispositivos móviles de los organismos del sector público cumplan los requisitos de accesibilidad establecidos en el artículo 4.

Dicha Directiva ya ha sido transpuesta en España por el Real Decreto 1112/2018, de 7 de septiembre de 2018.

  1. Y  la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios.

El artículo 1 define el objetivo de esta directiva:

El objetivo de la presente Directiva es contribuir al correcto funcionamiento del mercado interior mediante la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros en lo relativo a los requisitos de accesibilidad exigibles a determinados productos y servicios, en particular eliminando y evitando los obstáculos a la libre circulación de productos y servicios derivados de las divergencias en los requisitos de accesibilidad en los Estados miembros.

Los sistemas de inteligencia artificial pueden mejorar y facilitar el cumplimiento de los principios de la e-accesibilidad para cualquier colectivo de personas (por ejemplo para reconocer gestos, comportamientos, emociones o incluso analizar la actividad cerebral de las personas para que el sistema ejecute determinadas acciones). Pero dichas facilidades y funcionalidades también crean nuevos riesgos legales.

Respecto a la normativa de inteligencia artificial que será aplicable en la UE, el pasado 21 de abril de 2021 se ha publicado la Propuesta de reglamento del parlamento europeo y del consejo por el que se establecen normas armonizadas en materia de inteligencia artificial (ley de inteligencia artificial) y se modifican determinados actos legislativos de la unión.

La  Comisión Europea propone un marco reglamentario sobre inteligencia artificial (IA) con los siguientes objetivos específicos:

  • Garantizar que los sistemas de IA introducidos y usados en el mercado de la UE sean seguros y respeten la legislación vigente en materia de derechos fundamentales y valores de la Unión;
  • Garantizar la seguridad jurídica para facilitar la inversión e innovación en IA;
  • Mejorar la gobernanza y la aplicación efectiva de la legislación vigente en materia de derechos fundamentalesy los requisitos de seguridad aplicables a los sistemas de IA;
  • Facilitar el desarrollo de un mercado único para hacer un uso legal, seguro y fiable de las aplicaciones de IA y evitar la fragmentación del mercado.

La propuesta de Reglamento sigue un enfoque basado en los riesgos que distingue entre los usos de la IA que generan: i) un riesgo inaceptable, ii) un riesgo alto, y iii) un riesgo bajo o mínimo.

Respecto a los sistemas de IA inaceptables, la propuesta establece que estará prohibida la introducción en el mercado, la puesta en servicio o la utilización de un sistema de IA que aproveche alguna de las vulnerabilidades de un grupo específico de personas debido a su edad o discapacidad física o mental para alterar de manera sustancial el comportamiento de una persona que pertenezca a dicho grupo de un modo que provoque o sea probable que provoque perjuicios físicos o psicológicos a esa persona o a otra.

Para el resto de sistemas de IA no clasificados como inaceptables, se establece el principio de transparencia cuando están destinados a interactuar con personas físicas o a generar contenidos que puedan conllevar riesgos específicos de suplantación o falsificación, con independencia de si los sistemas son clasificados como de alto riesgo o no.

En particular, se establece la obligación de notificar a las personas físicas que están interactuando con un sistema de IA, salvo que sea evidente por las circunstancias y el contexto de uso, y deben ser informadas cuando estén expuestas a un sistema de reconocimiento de emociones o a un sistema de categorización biométrica y por tanto, especialmente se establece la obligación de facilitarse esta información y estas notificaciones en formatos accesibles para las personas con discapacidad.

Todo ello sin olvidarnos de aplicar el principio de transparencia del artículo 5 y el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en la persona física afectada o le afecte significativamente de modo similar, del artículo 22 del Reglamento General de Protección de Datos (RGPD).

Si se percibe interés por este tema, en otro artículo abordaré las posibles obligaciones jurídicas y técnicas contempladas en las normativas de e-accesibilidad, inteligencia artificial, ciberseguridad y protección de datos para que los proveedores, usuarios o cualquier entidad pública o privada pueda desarrollar legalmente sus sistemas de inteligencia artificial o plataformas digitales que permitan el acceso universal a la información y el conocimiento.

Eduardo López-Román
Abogado especializado en Derecho Digital y DPD, Vocal de ENATIC.

Compliance tecnológico: Cinco retos para la temporada 2021/22

/0 Comentarios/en /por

Después de un verano tan deseado, comenzamos una nueva temporada trepidante y llena de retos y objetivos dentro del mundo del Derecho Digital. A continuación, indico algunos de esos aspectos que considero que van a plantearnos una importante dedicación a los profesionales que nos dedicamos a ayudar a las organizaciones a cumplir las normas, mitigar sus riesgos y aportar eficiencia a los nuevos negocios y operaciones digitales:

  • Reto 1. Legal Risk mapping: Cada vez resulta más complicado en organizaciones de cierto tamaño tener un mapa visual que nos ofrezca información clara de qué normas nos aplican, qué grado de madurez de cumplimiento tenemos en cada una de ellas, qué controles o medidas son comunes para cumplir varias normas, etc.

    La presión normativa a las que las empresas están sometidas es abrumadora, en asuntos generales y, en particular, en asuntos digitales. En muchas compañías se genera algún tipo de estudio de aplicabilidad normativa impulsado por Legal, Compliance, DPO, etc. que, en muchos casos, pronto queda obsoleto y pierde valor.

    En cambio, desde los Board cada vez existe más preocupación por el impacto que los incumplimientos normativos pueden tener en la empresa, ya sea por las sanciones o barreras de negocio que puedan representar, como por el impacto reputacional.

    Por ello, resulta conveniente trabajar en la realización y actualización de estos legal risk mapping:
    • con detalle del alcance, operaciones o servicios de la compañía donde nos aplican,
    • que refleje los indicadores y evidencias de cumplimiento necesarias para tener en tiempo real un termómetro de Compliance Tecnológico,
    • que establezca el grado de madurez y cumplimiento de los diferentes requisitos normativos y nos ayude a saber dónde trabajar y con qué medios para mitigar los riesgos más representativos,
    • con capacidad de absorber los nuevos requisitos y obligaciones que van a venir impuestas por reciente o inminente normativa (ENS, NIS, DORA, nuevos criterios RGPD, Derechos Digitales, Cookies, nueva ley sobre canales de denuncia y protección de alertadores, reconocimiento facial, etc.)
  • Reto 2. Uso de inteligencia artificial en procesos de la compañía: El uso de procesos de inteligencia artificial se está extendiendo poco a poco en todas las áreas de una organización.

    Si bien inicialmente se aplicó a la gestión de clientes, mejorar su perfilado y segmentación, predecir hábitos de consumo o preferencias, actualmente las áreas de RRHH, operaciones, administración y financiero, legal, etc. también se están apuntando al uso de tecnologías y herramientas que utilizan la Inteligencia Artificial.

    En este sentido, será fundamental participar y asesorar como profesionales de derecho digital en tales proyectos desde dos diferentes enfoques:
    • Comprobar que el uso de IA está alineado a las buenas prácticas internacionales que se han publicado desde diferentes instituciones (trazabilidad, auditoría, calidad de algoritmos, etc.), así como alinearlo a los criterios de la futura normativa europea que ya se ha planteado por la Comisión Europea. Por supuesto, uno de los retos es la protección de los derechos de los individuos y que el uso de IA no vulnere los mismos en términos de igualdad, privacidad, etc.

      En este sentido, España publicó noviembre de 2020 una Estrategia Nacional de Inteligencia Artificial donde uno de sus 6 ejes estratégicos es el de “establecer una marco ético y normativo que refuerce la protección de los derechos individuales y colectivos, a efectos de garantizar la inclusión y el bienestar social”.
    • Protección de intangibles por la aplicación de IA en procesos de negocio, es decir, proteger los algoritmos creados o licenciados, los resultados y datos generados por aplicación de la IA, secretos comerciales, viabilidad para comercializar información disociada, etc.
  • Reto 3. Gobierno del camino al Cloud: Sin duda muchísimas organizaciones llevan tiempo contratando más y más servicios en Cloud, trasladando gran parte de su IT a la nube, ya sea en modo IaaS, PaaS, SaaS, etc. y la tendencia es seguir haciéndolo en mayor medida.

    Las implicaciones a nivel legal, de riesgos y cumplimiento son muy diversas en ese “journey to Cloud”, y a la vez muy diferentes de un modelo de internalización de la tecnología, en aspectos como la responsabilidad contractual del proveedor, el control de los datos, los riesgos de ciberseguridad, la gestión de evidencias de cumplimiento, Auditorías y supervisión por terceros o por Autoridades de Control, licenciamiento de software y modo servicio, gestión de crisis y brechas de seguridad, plan de salida y cambio de proveedor, etc.

    Por todo ello, se hace más necesario que nunca diseñar e implantar un sistema de Gobierno para el Cloud en cada organización, donde se definan los roles, responsabilidades y jerarquías en las variadas tomas de decisión que hay que tomar y que pueden conllevar importantes impactos para la compañía en términos de ineficiencia, asunción de riesgos, mayor coste en la factura del proveedor, problemas de seguridad, falta de coordinación interna, etc.

    Es necesario quitarse de la cabeza que ir a la Cloud es igual a desalojar todo tipo de responsabilidades en la compañía y que esa responsabilidad es asumida por el proveedor de manera íntegra. Es vital dotarse de esas políticas y procedimientos internos sobre Cloud para una mejor gestión de la contratación, monitorización y mantenimiento, cálculo de ahorro económico, mejor interlocución con el proveedor, mayor mitigación de riesgos, mejor control de eventuales crisis…
  • Reto 4. Implantación de Legaltech: Se habla mucho de Legaltech, de su mercado floreciente y de lo que aporta la digitalización y la incorporación de tecnologías en la función de las áreas legales, de Compliance y de Riesgos.

    Pero considero que es necesario dar un paso más y sacar todo el partido a las posibilidades que muchas herramientas nos ofrecen. En muchas organizaciones apenas se han implantado ninguno de estos sistemas o se limitan a gestores documentales, de expedientes, bases de datos, y otros productos de estas características.

    En algunas grandes corporaciones ya podemos ver cómo se han incorporado a los equipos legales y de Compliance expertos en tecnologías que ayudan a valorar la oferta de mercado, realizar demos y pilotos, liderar la implantación de las tecnologías seleccionadas, hacer un seguimiento de su utilidad y uso a través de indicadores, etc.

    En esta temporada 21/22 creo que debemos dar un paso de madurez y apostar por tecnologías Legaltech más disruptivas (y muy testeadas) que incorporan machine learning e IA y cuya aportación es enorme para una Asesoría en términos de valor añadido, capacidad de gestión de riesgos legales, ahorro de tiempo de los equipos, visión holística del estado de la compañía a nivel legal, capacidad de report a Dirección y Consejo, mejor relación e interlocución con áreas de negocio y con empleados, mejor control de medidas legales en los procesos de negocio, etc.
  • Reto 5. Apoyo continuo en la Transformación Digital: Considero que ya era un reto en la temporada anterior 20/21, y quizá lo siga siendo en la siguiente. Y es que los profesionales del Derecho Digital deben estar al lado de las áreas de IT y las oficinas de Transformación Digital, ya que los retos a los que se enfrenta la organización son enormes.

    Resulta fundamental conocer el diseño de los nuevos procesos, de la incorporación de tecnologías, del tratamiento de los datos, etc. que se pretende realizar en la organización, ya que el impacto legal es muy grande en aspectos como las responsabilidades contractuales, el cumplimiento de la normativa de protección de datos, propiedad intelectual e industrial, la protección de activos intangibles, la ciberseguridad, etc.

    Para terminar, resulta necesario implantar un sistema de “legal by design” y poder dar esa cobertura legal de manera continua desde que se diseña ese nuevo producto o servicio, pero además resulta necesario establecer un buen sistema de gestión que facilite internamente los análisis de riesgos legales, la custodia de evidencias de cumplimiento y control, la monitorización de controles legales en el avance del proyecto, etc.

Hay muchos más retos para los profesionales del derecho digital, pero he querido hacer mención a estos cinco que considero los más fascinantes que se nos plantean para los próximos meses.

Mucho ánimo y salud compañer@s para enfrentarnos a esta temporada 2021/22.

Carlos A. Saiz
Presidente de ENATIC y socio de Ecix Group

Directrices 07/2020 del EDPB sobre los conceptos de responsable y encargado del tratamiento en el RGPD

/0 Comentarios/en /por

El CEPD (EDPB, en inglés) ha publicado recientemente las Directrices 07/2020 sobre los conceptos de responsable y encargado del tratamiento en el RGPD, versión 1.0, adoptada el 2 de septiembre de 2020. El texto completo se puede encontrar aquí.

Estas Directrices estuvieron abiertas a consulta pública de septiembre a octubre de 2020 y el CEPD recibió más de un centenar de documentos con comentarios. Los mismos están disponibles en línea en la web del CEPD. Es probable que se publique una nueva versión a corto plazo pero, mientras tanto, los profesionales de la privacidad a menudo recurrimos a estas relevantes Directrices en busca de orientación para resolver asuntos complejos de nuestros clientes relacionados, entre otras cosas, con las relaciones entre grupos de empresas.

Las Directrices son extraordinariamente largas y detalladas (48 páginas).  Ofrecemos aquí nuestra selección de las pautas que ofrecen información relevante para entornos de grupos de empresas:

  • (…) Los conceptos de responsable del tratamiento, corresponsables y encargado del tratamiento son conceptos funcionales en el sentido de que tienen como objetivo asignar responsabilidades de acuerdo con los roles reales de las partes y son conceptos autónomos en el sentido de que deben interpretarse principalmente de acuerdo con la normativa europea de protección de datos.
  • En principio, no existe limitación en cuanto al tipo de entidad que puede asumir el rol de responsable, pero en la práctica suele ser la organización como tal, y no un individuo dentro de la organización (como el CEO, un empleado o un administrador), que actúa como responsable. Un responsable del tratamiento es un organismo que decide determinados elementos clave del tratamiento.
  • La condición de responsable puede estar definida por ley o puede provenir de un análisis de los elementos fácticos o circunstancias del caso. Ciertas actividades de tratamiento pueden verse naturalmente vinculadas al rol de una entidad (un empresario para los empleados, un editor para los suscriptores o una asociación para sus miembros). En muchos casos, los términos de un contrato pueden ayudar a identificar al responsable del tratamiento, aunque no son decisivos en todas las circunstancias.
  • Un responsable determina los fines y los medios del tratamiento, es decir, el por qué y el cómo del tratamiento. El responsable del tratamiento debe decidir sobre estos aspectos. Sin embargo, algunos aspectos más prácticos de la implementación («medios no esenciales») pueden dejarse al encargado. No es necesario que el responsable del tratamiento tenga realmente acceso a los datos que se están procesando para ser calificado como responsable del tratamiento.
  • Puede haber situaciones en las que varios actores traten sucesivamente los mismos datos personales en una cadena de operaciones, teniendo cada uno de estos actores un propósito independiente y medios independientes en su parte de la cadena. En ausencia de una participación conjunta en la determinación de los fines y medios de la misma operación de tratamiento o conjunto de operaciones, debe excluirse la corresponsabilidad y los diversos actores deben considerarse como responsables independientes sucesivos.
  • El tratamiento de datos personales puede implicar a múltiples encargados. Por ejemplo, un responsable puede optar por involucrar directamente a múltiples encargados o involucrar a diferentes encargados en etapas separadas del tratamiento (múltiples encargados). Un responsable también puede decidir contratar a un encargado, quien a su vez, con la autorización del responsable, contrata a uno o más encargados (“subencargados”). La actividad de tratamiento confiada al encargado puede estar limitada a una tarea o contexto muy específico o puede ser más general y extensa.
  • Una entidad separada significa que el responsable decide delegar todas o parte de las actividades de tratamiento a una organización externa. Dentro de un grupo de empresas, una empresa puede ser un encargado de otra empresa que actúa como responsable, ya que ambas empresas son entidades independientes.
  • Si el responsable del tratamiento decide tratar los datos por sí mismo, utilizando sus propios recursos dentro de su organización, por ejemplo, a través de su propio personal, ésta no es una situación del encargado.
  • El tratamiento de datos personales en nombre del responsable requiere, en primer lugar, que la entidad tercera trate los datos personales en beneficio del responsable. En el artículo 4 (2), el tratamiento se define como un concepto que incluye una amplia gama de operaciones que van desde la recopilación, el almacenamiento y la consulta hasta el uso, la difusión o la puesta a disposición y la destrucción. En la práctica, esto significa que todo tratamiento imaginable de datos personales constituye un tratamiento.
  • El tratamiento debe realizarse en nombre de un responsable, pero de otra manera que bajo su autoridad o control directo. Actuar «en nombre de» significa servir a los intereses de otra persona y recuerda el concepto legal de «delegación». En el caso de la legislación de protección de datos, un encargado está llamado a implementar las instrucciones dadas por el responsable al menos con respecto al fin del tratamiento y los elementos esenciales de los medios.
  • La licitud del tratamiento de acuerdo con el Artículo 6 y, en su caso, el Artículo 9 del Reglamento, se derivará de la actividad del responsable y el encargado no debe tratar los datos de otra manera que de acuerdo con las instrucciones del responsable. Aun así, como se describió anteriormente, las instrucciones del responsable aún pueden dejar cierto grado de discreción sobre cómo servir mejor a los intereses del responsable, permitiendo que el encargado elija los medios técnicos y organizativos más adecuados.

Por último, resulta muy útil la consulta del diagrama de flujo en el Anexo I (Diagrama de flujo para aplicar los conceptos de responsable, encargado y corresponsables en la práctica) pues puede ayudar a analizar un escenario complejo, por ejemplo, el caso de un grupo de empresas de estructura  sofisticada y sus operaciones de tratamiento y flujos de datos.

Belén Arribas Sánchez
Vicepresidenta de ENATIC

Los derechos humanos digitales de los menores de edad

/0 Comentarios/en /por

A nadie le sorprenderá si decimos que las Tecnologías de la Información y Comunicación (TIC) representan un nuevo espacio de relación e interacción social que entraña riesgos y oportunidades. Ello nos ha llevado a modificar los roles tradicionales de comunicación y a crear herramientas digitales que garanticen la seguridad en la red.

En el XII Foro Europeo sobre los derechos de los niños, niñas y adolescentes (NNyA), organizado por la Comisión Europea en Bruselas en el 2019, se debatió sobre «dónde estamos y hacia dónde queremos ir« analizándose la promoción y protección de los derechos de los más vulnerables en un mundo digital en constante cambio.

En los últimos 10 años, hemos visto como la UE en colaboración con los Estados miembros, han realizado un trabajo incansable por la defensa, las oportunidades y la seguridad de los menores de edad, cuya conectividad online va en aumento. Esta situación nos ha obligado a crear mecanismos eficaces de protección digital que respeten sus derechos en entornos digitales, con nuevas medidas políticas y legislativas.

Este año 2021, ha supuesto un avance importante  por los derechos digitales de los menores de edad, tanto a nivel nacional como supranacional. El pasado día 25 de marzo, la Comisión Europea publicó la Estrategia de la Unión Europea sobre los Derechos del niño 2021-2024, destacando como una de sus acciones la de trabajar por una UE donde los NNyA puedan navegar con segura por el entorno digital y aprovechar las oportunidades”.

Paralelamente, el día 24 de marzo, el Comité de los Derechos del Niño (CDN), como órgano de expertos independientes que supervisa que sus Estados partes apliquen correctamente la Convención sobre los Derechos del Niño de Naciones Unidas, redactó la Observación General nº 25 “relativa a los derechos del niño en relación con el entorno digital”, cuyo objetivo primordial es: “ofrecer orientación sobre las medidas legislativas, normativas y de otra índole pertinentes, destinadas a garantizar el pleno cumplimiento de las obligaciones contraídas en virtud de la Convención y sus Protocolos Facultativos, habida cuenta de las oportunidades, los riesgos y los desafíos que plantean la promoción, el respeto , la protección y el ejercicio efectivo de todos los derechos de los niños en el entorno digital”. Los derechos de los niños, niñas y adolescentes, en entornos digitales cobran cada vez más fuerza, lo que impulsa un trabajo más intergeneracional, siendo indispensable la creación de una normativa legal que obligue a los Estados participantes a intensificar las medidas de protección, ante una sociedad que cada vez más intensifica su digitalización.

El Comité de los Derechos del Niño resalta en su Observación nº25, la importancia de que los Estados participantes protejan a todos los menores de edad contra los contenidos nocivos y poco fiables, mediante la creación de medidas legislativas y administrativas que impidan cualquier tipo de violencia, abuso, malos tratos y explotación, desde diversos aspectos:

  • Acceso a la justicia y la reparaciónSe debe asegurar que todos los menores de edad y sus representantes conozcan y tengan a su disposición mecanismos de reparación judicial para abordar las violaciones de los derechos de los NNyA en relación con los entornos digitales. Los Estados deberán garantizar que sus derechos son reparados tanto si la vulneración proviene de particulares como de empresas  en el contexto de sus operaciones a escala mundial.
  • Publicidad comercial y comercialización. Debe prohibirse por Ley, la elaboración de perfiles o la selección de niños de cualquier edad con fines comerciales, mediante un registro digital de sus características reales o inferidas, incluidos los datos grupales o colectivos, la selección por asociación o los perfiles de afinidad.
  • El derecho a la privacidadEste derecho resulta indispensable para garantizar la autonomía, dignidad y seguridad de los menores de edad, en relación con aquellos datos personales que contengan información sensible relativa a la identidad, ubicación, salud, comunicación, etcétera, por lo que el Comité resalta la importancia de implementar medidas legislativas y sistemas de verificación que amparen y garanticen la privacidad de los NNyA.
  • La violencia contra los niños. Al estar este colectivo más expuestos a sufrir cualquier tipo de violencia o abuso en la red, los Estados deben intensifiquen las medidas de seguridad y reforzar los mecanismos de protección, actualizando y aplicando marcos legislativos, reglamentarios e institucionales sólidos que protejan a los menores de edad frente a los riesgos reconocidos y emergentes de todas las formas de violencia en el entorno digital.
  • Acceso a la información. Hay que fomentar y apoyar la creación de contenidos digitales adaptados a la edad de los NNyA, y destinados a potenciar su papel en la sociedad, de acuerdo con la evolución de sus facultades, y lograr que estos tengan acceso a una amplia diversidad de información, incluida la que poseen los organismo públicos, sobre cultura, deportes, artes, salud, asuntos civiles y políticos y sus derechos.

La estrategia de la Unión Europea recomiendo a los EM para los próximos años 2021-2024, una actualización del sistema actual a favor de una digitalización más adecuada para los NNyA, recomendando a los Estados miembros y empresas TICs una adaptación en la línea de:

  • Garantizar a los NNyA un acceso equitativo y efectivo de las herramientas digitales y la conexión a internet, la alfabetización digital, el material educativo en línea accesible y las herramientas de accesibilidad necesarias para hacer efectivo su derecho.
  • Fomentar el desarrollo de sus competencias digitales básicas.
  • Apoyar acciones de alfabetización en el sector de la educación para fomentar en el desarrollo de los NNyA para detectar desinformación y contenido abusivo.
  • Preservación su privacidad, la protección de sus datos personales, y garantizar el acceso a un contenido apto según las edades.

A nivel nacional, España ha aprobado recientemente la Ley Orgánica8/2021, de 4 de junio, de protección integral a la infancia y la adolescencia frente a la violenciaDicha ley será de aplicación a todos los menores de edad que se encuentren en territorio español, independientemente de su nacionalidad y de su situación administrativa de residencia.

Entre algunos de sus objetivos de esta Ley, está el de promover un entorno digital seguro para los niños, niñas y adolescentes bajo un marco de prevención, detección precoz y protección frente a una posible vulneración de sus derechos frente a cualquier advertencia de contenidos en internet que impliquen una utilización inadecuada de los mismos y que puedan generar cualquier tipo de violencia infantil y/o sexual contra ellos, como el ciberbullying, el grooming, la ciberviolencia de género o el sexting, así como el acceso y consumo de pornografía entre la población menor de edad. Entre muchas de las modificaciones que esta ley ha incorporado en nuestro Código Penal se introduce un nuevo artículo 143 bis, con el siguiente contenido: “La distribución o difusión pública a través de Internet, del teléfono o de cualquier otra tecnología de la información o de la comunicación de contenidos específicamente destinados a promover, fomentar o incitar al suicidio de personas menores de edad o personas con discapacidad necesitadas de especial protección será castigada con la pena de prisión de uno a cuatro años…”.

Por último, el capítulo XII de esta Ley recoge el papel de la Agencia Española de Protección de Datos en la protección de datos personales, garantizando los derechos digitales de las personas menores de edad, estableciendo un canal accesible y la retirada inmediata de los contenidos ilícitos. En los casos de violencia sobre la infancia, la colaboración entre las administraciones públicas y los medios de comunicación pondrán especial énfasis en el respeto al honor, a la intimidad y a la propia imagen de la víctima y sus familiares, incluso en caso de fallecimiento del menor. En esta situación, la difusión de cualquier tipo de imagen deberá contar con la autorización expresa de herederos o progenitores

En conclusión, hay que seguir trabajando para que el ejercicio de los derechos civiles y políticos de los niños, niñas y adolescentes sean efectivos en la red, garantizándoles una navegación segura en la red, priorizando la defensa de sus derechos humanos digitales, y dándoles la posibilidad de participar y tener un papel más activo en la toma de decisiones. Y dada la gran preocupación por parte de padres/tutores, escuelas, proveedores de servicios públicos, así como organizaciones nacionales e internacionales de derechos humanos, es imprescindible reforzar y apoyar el rol de los progenitores a través del desarrollo de competencias y habilidades que favorezcan el cumplimiento de sus obligaciones legales y, en particular, las establecidas en el artículo 84.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

María del Pilar Tintoré
Presidenta de la Sección de Infancia y Adolescencia del Ilustre Colegio de la Abogacía de Barcelona (ICAB) y Vocal de ENATIC.

Más información:

Unas cláusulas necesarias, un problema persistente

/0 Comentarios/en /por

¿Les suena de algo un tal Max Schrems? Así, en frío, es probable que muchos de ustedes no reconozcan este nombre; pero es, probablemente, la persona que más ha influido en las relaciones entre los Estados Unidos y Europa en materia de protección de datos. Dos sentencias del Tribunal de Justicia de la U.E. llevan su apellido, con consecuencias demoledoras en ambos casos: la declaración de invalidez de los acuerdos Safe Harbor (2015) y Privacy Shield (2020), ambos utilizados por la mayoría de empresas para amparar las transferencias internacionales de datos con sus clientes o proveedores estadounidenses.

Desde la caída del “Escudo de Privacidad”, hace casi un año, son muchas las voces que claman por un nuevo instrumento jurídico que ofrezca cobertura a unos flujos trasatlánticos de datos que, a menudo, son necesarios e inevitables. Máxime debido a que no disponíamos de herramientas apropiadas para dar respuesta a esta necesidad, toda vez que la única alternativa viable (las llamadas “cláusulas contractuales tipo”), aun permaneciendo vigente, databa de principios de siglo y no daba cobertura a muchos de los requerimientos del actual Reglamento General de Protección de Datos.

A pesar de su amplia difusión y de su empleo generalizado, la repercusión de estas cláusulas contractuales era muy limitada: su firma era percibida por la mayor parte de las empresas como un simple formalismo burocrático, un automatismo sin mayor relevancia práctica; y esto no gustaba a las autoridades de supervisión. De ahí que se considerase prioritario introducir, también en este tipo de instrumentos, el principio de responsabilidad proactiva, hilo conductor del RGPD.

En este contexto, la Comisión Europea acaba de aprobar un nuevo conjunto de cláusulas contractuales, significativamente más completas y flexibles que las anteriores. Desde su inminente entrada en vigor, las empresas contarán con un máximo de 18 meses para actualizar sus contratos; y lo podrán hacer en base a un planteamiento modular, que ofrece distintas alternativas en función de los roles que, a efectos de la normativa de protección de datos, desempeñen el importador y el exportador. Así, las nuevas cláusulas dan respuesta a realidades que anteriormente no estaban previstas, como los flujos entre encargados de tratamiento, las relaciones en las que participan una pluralidad de partes o la posibilidad de que una tercera empresa se adhiera a ellas en un momento posterior a su firma inicial. Y lo hacen procurando dar respuesta a las preocupaciones planteadas por el Tribunal de Justicia de la Unión Europea en ambas “sentencias Schrems”.

Ahora bien, no esperen que implementar este articulado sea tan sencillo como copiar y pegar su contenido y plasmar una firma: su uso ha de venir acompañado de un análisis documentado del marco jurídico aplicable al importador de datos, a efectos de evaluar si sus previsiones y contexto resultan suficientes para amparar la transferencia internacional, o si es preciso implementar garantías adicionales para lograr el “nivel de protección sustancialmente equivalente al garantizado dentro de la Unión” que exige el Tribunal de Justicia de la U.E. Esas garantías adicionales podrían ser añadidas libremente por las partes, en su caso, en la medida en que no contradigan su clausulado ni perjudiquen los derechos y libertades de los interesados; y deberían basarse en las recomendaciones publicadas al respecto por el Comité Europeo de Protección de Datos.

Todas estas novedades, plagadas de buenas intenciones, mejoran y complementan el marco jurídico de las transferencias internacionales de datos; pero desgraciadamente, siguen sin dar una respuesta ágil y eficiente al principal problema al que se enfrentan decenas de miles de empresas en toda la Unión Europea, que dependen tecnológicamente de proveedores estadounidenses con los que resulta poco menos que imposible negociar los concretos términos de un contrato. La opción que estos proveedores plantearán a sus clientes, con toda probabilidad, será la aceptación de contratos de adhesión basados en estas cláusulas; y me atrevo a pronosticar que en muchos de ellos, la responsabilidad proactiva y el análisis previo de riesgos brillarán por su ausencia. Aún así, la gran mayoría de las empresas los acatarán sin pensárselo, para dar cobertura formal a unos flujos de datos que eran legales hace un año y que ahora las colocan en serio riesgo de sanción… y su firma tenderá a convertirse nuevamente en un mero trámite, hasta que intervengan las autoridades de supervisión. Se antoja probable, pues, que la mera aprobación de estas nuevas cláusulas contractuales resultará insuficiente para superar la difícil coyuntura en la que nos encontramos. Suponen un paso adelante, sin duda, pero precisamos soluciones más ambiciosas.

Si me permiten opinar, el despegue de tecnologías como la inteligencia artificial, el machine learning y los servicios en la nube hacen que cada vez sea más necesario contar con un marco global común en materia de privacidad y protección de datos. Los esfuerzos europeos son loables, pero utópicos, e incluso ingenuos si no vienen acompañados por movimientos similares en el resto de los países del mundo, empezando por los Estados Unidos. Mientras no se alcance esta meta, no veo otra salida que continuar aprobando soluciones temporales, abocadas a la irrelevancia práctica o a ser invalidadas por la Justicia. ¡Espero equivocarme!

José Leandro Núñez García
Abogado, Socio de Audens, y Vocal de Enatic.

El riesgo de reidentificación en la anonimización de los datos personales

/0 Comentarios/en /por

El RGPD determina en su Considerando 26 que los principios de protección de datos no deben aplicarse a la información anónima, es decir, información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el Interesado no sea identificable, o deje de serlo. Es decir, que la normativa de protección de datos no sería aplicable ni a la información que sea anónima ni a los datos personales que se hayan convertido en anónimos.

Cada vez es más frecuente la necesidad y uso de datos abiertos (geográficos, medioambientales, meteorológicos, de movilidad, cartográficos, geoespaciales, comerciales, legales, sociales, demográficos, económicos, estadísticos, financieros, etc.) para intentar dar respuesta a los grandes retos que la evolución de la sociedad actual nos plantea y generar beneficios tanto para el sector público como el privado que redunden en mejores servicios para los ciudadanos.

Un claro ejemplo, por desgracia, que demuestra la necesidad, cada vez mayor, del Open Data; ha sido el seguimiento, estudio y evolución de la pandemia mundial por la Covid-19 y los distintos conjuntos de datos publicados por las diferentes administraciones.

A pesar de los indudables beneficios, la publicación de cualesquiera de estos conjuntos de datos y su posterior utilización pueden llegar a afectar a la privacidad de los individuos y al derecho fundamental a la protección de los datos personales. Por ello, resulta frecuente que, dependiendo del proyecto en particular, se proceda a una “anonimización” bien de los datos en origen bien del conjunto de datos a publicar. 

Sin embargo, no debemos olvidar que los procesos de anonimización o de conversión de datos personales en datos anónimos constituyen un tratamiento en sí mismo de datos personales que si está sometido al RGPD y a los principios de la protección de datos, entre otros, el principio de la responsabilidad activa o accountability que le obliga  a cumplir y a demostrar dicho cumplimiento. Por ejemplo, dicho tratamiento debería quedar contemplado en el registro de actividades de tratamiento (art. 30 RGPD) o, según el caso, ser objeto de una evaluación de impacto (art. 35 RGPD). Resulta absolutamente esencial llevar a cabo un análisis, gestión y revisión continua de los riesgos de reidentificación que el propio proceso de anonimización conlleva. Pero no solamente respecto de la reversibilidad en sí misma de la anonimización de los concretos datos o atributos de los mismos que contengan información personal, sino también respecto a las posibilidades de identificar o hacer identificable a una persona al realizar determinadas agregaciones de información o cruzar o mezclar distintos conjuntos o bases de datos (y ello a pesar de estar anonimizados en origen).

En este sentido, el reciente Dictamen (CNS 12/2021) emitido por la Autoridad Catalana de Protección de Datos (APDCAT), ante la consulta de una fundación del sector público, en relación con el desarrollo de un modelo matemático para la prevención de epidemias y pandemias sin generar riesgos para la privacidad de las personas físicas; realiza un detallado examen de la calidad de la anonimización de los datos en origen (por parte delas entidades responsables-) y evalúa los posibles riesgos de una eventual reidentifación de las personas físicas. 

Resulta interesante el análisis que la APDCAT realiza respecto a los Datos del Programa público de analítica de datos para la investigación y la innovación en salud («padrino»), gestionado por la Agencia de calidad y Evaluación Sanitarias de Cataluña (Aqua); los Datos de la movilidad en España durante el periodo de pandemia por la Covid-19,publicadas por el Ministerio de Transportes, Movilidad y Agenda Urbana (MITMA); y losDatos abiertos del Instituto Nacional de Estadística (INE). En los dos primeros conjuntos de datos (datos de salud y datos de movilidad), exceptuando los datos del socioeconómicos del INE, y a la vista de la información aportada, la APDCAT concluye que no hay garantías suficientes de que la información se ofrezca con niveles de agregación suficientemente amplios.

En el caso de los datos de movilidad, a pesar de ser publicados por el MITMA cuando hay más de 1.000 viajes entre dos áreas (origen y destino), no existe, a juicio de la APDCAT, ningún mecanismo o medida que garantice que dichos datos se ofrecerán en abierto siempre y cuando entre dos áreas haya un número de viajes suficientemente grande que impida la reidentificación de una persona al correlacionar dichos datos con otro conjunto de datos. Y en el caso de los datos de salud, tampoco existen, en opinión de la APDCAT, suficientes garantías de que las agregaciones de datos (especialmente el dato de “número de hospitalizaciones” en relación con otros como “primera PCR positiva”, “media de días hospitalizados”, “rango de edad”, etc.) no se llevan a cabo sobre grupos pequeños de individuos, impidiendo la identificación.

En cualquier caso, y sin entrar en otras consideraciones que excederían con mucho del objeto y propósito de este post, la APDCAT incide en dos cuestiones, a mi juicio fundamentales, no solo para el caso objeto de la consulta sino extrapolables a cualquier proyecto que implique anonimización de datos: Por un lado, la aplicación del principio de minimización de datos del art. 5.1.c) RGPD, especialmente en los caso de “anonimización”; y por otro, buscar o utilizar el máximo nivel de agregación y ante muestra extremadamente reducidas de individuos, enmascarar dichos datos o, incluso, eliminarlos.

Además, como garantías adicionales a tener en cuenta, y extrapolables, en mi opinión, a cualquier otro supuesto, más allá del caso concreto, la propia APDCAT hace mención a determinados compromisos entre los diversos participantes en el proyecto como la confidencialidad, mantener la anonimización, vinculación de la información exclusivamente al proyecto concreto, comunicarse cualquier sospecha de posible reidentificación y determinar un plazo máximo de conservación de los datos.

En definitiva, la APCAT señala que en relación con los procesos de anonimización “(…) no se puede descartar que a partir del cruce de los datosanonimizados a que se refiere la consulta (…) se pudiera acabar identificando personas concretas, por lo que hay que medir, evaluar y gestionar este riesgo de reidentificación adoptando las medidasadecuadas (…) para reducir la probabilidad de reidentificación (…)”.

Sin duda alguna, en mi opinión, uno de los grandes retos para los abogados digitales, vendrá representado por el asesoramiento y ayuda en esos procesos de “anonimización” para poder aportar soluciones y que se adopten las medidas adecuadas que permitan una mitigación, control y supervisión de los riegos de reidentificación; y que a la vez permita disfrutar y beneficiarnos como sociedad de los indudables beneficios del uso y explotación de los datos abiertos, respetando la privacidad de los ciudadanos.

Óscar A. Sánchez
Delegado de Protección de Datos en Abertis Autopistas y Vocal de ENATIC.

Más información: