El Blog de Enatic – Página 3 – ENATIC

A vueltas con la Propuesta de Reglamento de la CE sobre la regulación de la IA: avances y riesgos

7 junio, 2021/0 Comentarios/en El Blog de Enatic/por Enatic Abogacía Digital

Para hablar del futuro es necesario realizar una referencia a la novísima Propuesta de Reglamento de fecha 21 de abril de 2021, por la que se establecen normas armonizadas sobre la inteligencia artificial en la Unión, cuestión que también afectará irremediablemente en un futuro próximo a las investigaciones tecnológicas en la era postcovid, y en consecuencia, a los procesos penales donde se utilicen datos electrónicos.

Con esta normativa se vislumbra un futuro restrictivo en el uso de la IA a través de una regulación que frene su desarrollo y uso indiscriminado, con el fin de salvaguardar los valores últimos de la UE. Podemos decir que sería una parte dentro del Programa Europa Digital que actúa como su némesis. Dentro de este programa existe un topic principal consistente en “Configurar el futuro digital de Europa”[1] orientado en buscar una verdadera transformación digital de la UE con fiel respeto a los derechos fundamentales de los ciudadanos y como protagonista el desarrollo de la tecnología 5G mediante herramientas tecnológicas basadas en inteligencia artificial. Esta estrategia se traduce en impulsar, para todas las administraciones públicas y privadas, aplicaciones basadas en asistentes virtuales, herramientas predictivas, incorporación de bots o biometría entre otras. En definitiva, estamos hablando de utilizar Big Data, es decir, macrodatos en abierto[2], lo que causará inevitablemente un impacto en la privacidad de los ciudadanos europeos.

Además, esta propuesta de Reglamento sobre IA proporciona una definición de lo que se debe entender por este tipo de tecnología o herramienta, indicando que estaríamos ante “un software que, mediante el empleo de técnicas matemáticas y de programación, conocidas como “algoritmos”, permiten elaborar resultados que sirven para realizar predicciones, pronósticos de conductas, recomendaciones de decisiones futuras, entre otros fines”; cuestión de especial importancia al enfocar solo la definición en la parte intangible, y desligando acertadamente su desarrollo propio de la robótica, para lo que hay una serie de textos concretos y sobre las que gran parte de la sociedad y la doctrina entrelaza de manera confusa.

La Comisión Europea es consciente del alto grado de injerencia que este tipo de tecnología puede tener sobre el derecho fundamental a la protección de datos de los administrados, por lo que se deben plantear una serie de cautelas en la configuración de las aplicaciones por defecto. Quiere decir que partimos de una serie de requisitos previos de seguridad a nivel legal que se deberán cumplir y de que del mismo modo existe opacidad en muchos algoritmos que pueden generar complicaciones legales y desconfianza por parte de sus potenciales usuarios.

En este sentido, el proyecto presenta una normativa que clasifica los tipos de IA en función del riesgo de afectación e injerencia para los derechos fundamentales de los ciudadanos, diferenciando cuatro categorías: a) riesgo inadmisible, b) alto riesgo, c) riesgo limitado; d) riesgo mínimo.

Riesgo inadmisible significa que dichos programas estarán prohibidos y que por tanto no podrían tener una inclusión comercial al exponerse a una sanción concretamente sobre el 5% de los beneficios anuales de la empresa que lo desarrolle. Entre los usos prohibidos podemos encontrar todos los programas persuasivos que lleguen a manipular subliminalmente a los usuarios, aquellos que ataquen a colectivos especialmente vulnerables y que les pueda causar daño físico o moral, los que se basen en sistemas de “puntuación social” o aquellos que se basen en sistemas de reconocimiento biométrico en espacios abiertos y con finalidades privadas y no autorizadas previamente en el marco de una investigación policial ante casos de especial gravedad entre los que la propuesta de Reglamento destaca propiamente el terrorismo.

De igual modo, también sufrirán especiales limitaciones los sistemas de alto riesgo y tendrán que pasar una serie de filtros si quieren ser comercializados sin que se les llegue a imponer una sanción. Cuestiones vinculadas a filtrado de perfiles para recursos humanos, perfilación, transporte o infraestructuras críticas deberán demostrar mecanismos para controlar los inevitables sesgos o a la discriminación algorítmica que lleven aparejados, al tiempo que deberán contar así con una supervisión por humanos. Con este nuevo bloque la UE deja clara su apuesta por un tipo de IA que sirva de apoyo, pero nunca de sustitución completa, a labores vinculadas a administraciones públicas.

Nos parece un enorme acierto afrontar la discriminación algorítmica con controles humanos, que haya obligaciones de testar de manera continuada y que exista un feedback de diversos profesionales, así como poder desarrollar guías de buenas prácticas o estándares de uso de IA. Todo ello dota de enorme valor la propuesta de crear un Consejo Europeo de Inteligencia Artificial, formado por comités de expertos que asesoren sobre la materia. Esta cuestión sigue la estela de la réplica de otros campos como la de robótica. Cuestión distinta y aún por definir es todo lo relativo a la creación de sistemas de compliance en este sentido o códigos de conducta a la hora de desarrollar y aplicar los algoritmos.

¿Cómo se pretende realizar todo ello? A través de lo que se denomina sandboxes regulatorios (cajas de arena). Hablamos de un entorno de pruebas cerrado, diseñado para experimentar de forma segura con proyectos de desarrollo web o de software. Es decir, realmente estaríamos hablando de una especie de campo de pruebas para nuevas herramientas tecnológicas que se encuentran en el plano alegal y que deben ser supervisados por las instituciones regulatorias. En este sentido, desde el punto de vista judicial una muestra clara sería el de la jurimetría o justicia predictiva, el cual podría encontrarse en esta franje de alto riesgo y del que se necesitaría un proceso de testar mucho más profundo que el que se ha hecho hasta el momento. Comienza así una lucha contra los algoritmos sesgados con soporte legal, pues el proyecto de Reglamento le dedica tres artículos, del 53 al 55. Concretamente el art. 53 apunta que “Los espacios aislados de regulación de la IA establecidos por una o más autoridades competentes de los Estados miembros o por el Supervisor Europeo de Protección de Datos proporcionarán un entorno controlado que facilite el desarrollo, la prueba y la validación de sistemas innovadores de IA durante un tiempo limitado antes de su comercialización o puesta en servicio con arreglo a un plan específico”. Estamos hablando de unas pruebas supervisadas, en las que cualquier riesgo significativo para la salud y la seguridad y los derechos fundamentales que se detecte durante el desarrollo y las pruebas de dichos sistemas dará lugar a una mitigación inmediata; tal y como recoge el punto tres del aludido precepto. Con ello, se abre un nuevo espacio de cooperación procesal internacional entre las autoridades competentes de los Estados miembros que hayan creado sandboxes o espacios aislados de regulación de la IA coordinarán sus actividades y cooperarán en el marco de la Junta Europea de Inteligencia Artificial.

De igual modo, en relación estricta con el objeto de la presente investigación: el uso de inteligencia artificial en la fase de instrucción del proceso penal, debemos acudir directamente al art. 52 de la propuesta de Reglamento, pues hace alusión expresamente a ello.

Así, el art. 52 regula las obligaciones de transparencia para determinados sistemas de IA. En este sentido será necesario que las personas que vayan a manejar el sistema sean informadas de las cuestiones de diseño y desarrollo sobre las que esa herramienta se ha configurado. Pero, a tenor de lo que atañe, esta cuestión queda excluida de los procesos penales, al indicar que “Esta obligación no se aplicará a los sistemas de IA autorizados por la ley para detectar, prevenir, investigar y perseguir delitos, a menos que dichos sistemas estén disponibles para que el público denuncie un delito”. Por tanto, solo deberán ser informados los usuarios si son herramientas de inteligencia artificial usadas por el público en general, pero no para autoridades judiciales.

Lo mismo ocurre con la biometría, ya que para ser autorizados estos sistemas deberán informar a las personas físicas que estén expuestas a los mismos, pero dicha obligación, según el art. 52.2 “no se aplicará a los sistemas de IA utilizados para la categorización biométrica, que están autorizados por la ley para detectar, prevenir e investigar delitos”[3].

De igual modo, si estos programas manipulan contenidos de imagen, audio o video, provocando lo que se denomina comúnmente como “Deep-fake”, se deberá indicar expresamente que el contenido está manipulado de manera artificial. Aunque vuelve a poner una objeción para la investigación de delitos al indicar que “no obstante, no se aplicará cuando el uso esté autorizado por la ley para detectar, prevenir, investigar y perseguir delitos o sea necesario para el ejercicio del derecho a la libertad de expresión y el derecho a la libertad de las artes y las ciencias garantizados en la Carta de los Derechos Fundamentales de la UE, y siempre que se ofrezcan las garantías adecuadas para los derechos y las libertades de terceros”. Creemos firmemente que esta cuestión está planteada para permitir el uso de materiales camuflados o creados artificialmente por agentes encubiertos informáticos, y así permitir el intercambio de archivos de naturaleza aparentemente ilícita.

Se abre una nueva etapa del uso de herramientas de inteligencia artificial en esta parte del proceso, para los que España ya se encuentra preparada. Debemos poner en valor que nuestro país es uno de los pocos estados miembros con una estrategia propia sobre Inteligencia Artificial, hecha pública en diciembre del 2020 y en la que se pretenden invertir 600 millones de euros hasta el 2023. La misma se deberá adaptar al futuro Reglamento, aunque busca los mismos objetivos, los cuales se pueden resumir en dos: respetar los derechos fundamentales y generar confianza en la ciudadanía.

Al incardinar la estrategia en la Vicepresidencia de Asuntos Económicos y Transformación Digital, podemos ver que el enfoque está planteado para hacer del desarrollo de la IA un nuevo vector económico. Esto a su vez, podría llegar a tener una fuerte repercusión a nivel de empleo y se inserta además en el Plan de Recuperación, Transformación y Resiliencia de la economía española, lo que conecta con los fondos Next Generation de la UE para hacer frente a las consecuencias provocadas a todos los niveles por la crisis sanitaria de la Covid-19 y al que se añade el fondo Next Tech de naturaleza público-privada. Desde el punto de vista jurídico se habla de conseguir un marco ético y normativo que garantice la protección de los derechos individuales y colectivos. Podemos decir que el punto cardinal que centrará esta acción en legislar la injerencia de la IA en los derechos fundamentales de las personas entre los que destacará la protección de datos personales, para perseguir los fines propios recogidos sobre la materia en el mismísimo Tratado Fundacional de la Unión Europea.

Federico Bueno de Mata
Profesor Titular de Derecho Procesal en la Universidad de Salamanca y Vocal de ENATIC

[1] Vid. https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/shaping-europe-digital-future_es (Fecha de consulta: 18 de mayo de 2021).

[2] BUENO DE MATA, F. “Macrodatos, inteligencia artificial y proceso: luces y sombras”, Revista General de Derecho Procesal, iustel.com, núm. 51, 2020.

[3] Esta cuestión ya viene apuntada por el Libro Blanco de la Inteligencia Artificial, en relación a la recopilación y el uso datos biométricos para la identificación remota; al indicar que su uso entraña riesgos específicos para los derechos fundamentales si dichas tecnologías se utilizan en espacios abiertos sin haber informado previamente a sus potenciales usuarios.

En Abogacía, ¿quién forma para obtener las competencias digitales?

3 junio, 2021/0 Comentarios/en El Blog de Enatic/por Enatic Abogacía Digital

A solo dos días del 5 de junio, fecha en la que se realizará por el Ministerio de Justicia el primer Examen de Acceso al Ejercicio de la Abogacía del año 2021 -segundo en la historia de la existencia de este examen que realiza en formato on line – vuelve a asaltarme la pregunta que tuve la ocasión de poner sobre la mesa en octubre del año 2018, cuando fui invitada por el Ilustre Colegio de Abogados de Barcelona a participar en las “Primeras Jornadas sobre Transformación Digital en la Abogacía”: En Abogacía, ¿quién forma para obtener las competencias digitales?

Dos años y medio después, con el virus que ha hecho temblar el mundo aún entre nosotros, todo lo planteado allí se ha acelerado. Pero aún queda mucho camino por recorrer. La brecha digital es aún enorme.

Ya nadie duda de la necesidad de que un abogado tenga que estar actualizado en competencias digitales – y así se recoge tácitamente en el Real Decreto 135/2021 de 2 de marzo, por el que se aprueba el Estatuto General de la Abogacía Española-. Ya no nos da vergüenza hacer videconferencias, el teletrabajo está totalmente normalizado, las transacciones por internet ya no son la excepción, la formación on line se ha disparado etc.

Pero, precisamente, en ese año 2018, concretamente el día 3 de marzo, los que nos dedicamos, en parte, a la formación continua de los abogados y a la formación inicial de los letrados en prácticas, tomamos consciencia de la realidad del cambio social en que estamos inmersos en materia formativa y pensamos en adaptar los planes de estudios de los postgrados habilitantes para el examen de acceso, con la finalidad de que nuestros alumnos adquirieran competencias digitales.

La noticia corrió como la pólvora en las redes sociales: las preguntas de las 31 a la 34 del examen de acceso versaban sobre Lexnet, una materia “no incluida” en el programa el examen de acceso.

En ese momento algunos, en nuestro fuero interno, pensamos que en realidad si era una materia incluida. Técnicamente esas preguntas no eran más que las competencias digitales, que como materia transversal, debe tener todo futuro abogado. Esas preguntas evidenciaron la transformación digital de las aptitudes que tradicionalmente se habían considerado como deseables para los abogados, en función de un nuevo paradigma social.

Desde entonces se ha tratado de asegurar la formación práctica en materia de documentos digitales, contratos electrónicos, firma digital, tele trabajo, comercio electrónico, y muy especialmente en este último año en la enseñanza virtual, grupos (redes) sociales, delitos informáticos y por supuesto ciberseguridad.

Esas preguntas sobre Lexnet implicaron reconocer la necesidad de un proceso de actualización continua, pero para hacerlo con garantías, quizá debamos regular las competencias digitales de la abogacía y de los que se forman con la finalidad de ejercerla.

Hasta la fecha, únicamente la American Bar Association ha reglado dichas competencias, en un documento de fecha 2012.

El Colegio de Abogados de California también posee un documento, o guía profesional, en el que se resumen estas competencias en todas aquellas que impliquen optimizar el trabajo para tener mayor eficacia y rigor profesional, y señala como punto básico la permanente actualización tecnológica en materia de ciberseguridad para dar “cibertranquilidad” a nuestros clientes.

Respecto a los alumnos de las facultades de derecho, se da la paradoja de que están conviviendo en las aulas nativos digitales, que normalmente se limitan a recibir clases magistrales de los que, en el mejor de los casos, están o estamos inmersos en un proceso de “migración digital”.

Quizá estemos en el momento de crear ambientes formativos proactivos, plantear la conveniencia de cursar dobles titulaciones en las que se garantice la formación en materia de derecho digital no sólo como materia transversal, se establezcan colaboraciones con profesionales que manejen las TIC y, por quien proceda, se creen una acreditación de esas habilidades especiales para el manejo de los instrumentos digitales que se requieren para ejercer cualquier profesión jurídica.

Hasta entonces, seguiremos atentos a lo que suceda este 5 de junio de 2021. Seguiremos observando como la realidad social cambiante, nos indica qué es lo que tenemos que regular y por supuesto, seguiremos deseando buena suerte a todos los letrados en prácticas, sin duda alguna, los mejor preparados de la historia en materia de derecho digital.

Que la fuerza les acompañe. Quizá pronto, muchos de ellos sean socios de ENATIC.

Laura Fra Rodríguez
Abogada, Vocal de ENATIC.
Responsable de formación del Ilustre Colegio de Abogados de León (ICAL)
Coordinadora por parte del ICAL del Máster Universitario de Acceso al Ejercicio de la Abogacía de la Universidad de León.

Dilema asiático entre privacidad y seguridad sanitaria: ¿se debe cuestionar al RGPD en el contexto pandémico?

31 mayo, 2021/0 Comentarios/en El Blog de Enatic/por Enatic Abogacía Digital

El pasado 25 de mayo se cumplió el tercer aniversario de la entrada en aplicación del Reglamento General de Protección de Datos^[1] (en adelante, RGPD), efeméride que se produjo por segundo año consecutivo en un contexto de pandemia global. No hubo muchos motivos para la celebración, sino más bien todo lo contrario, la emergencia sanitaria ha tensionado durante el último año a los fundamentos de los Estados democráticos y de derecho europeos hasta extremos impensables. El estándar europeo de protección de datos y privacidad, además, ha sido cuestionado y situado ante el espejo de sus modelos antagónicos asiáticos.

El filósofo y pensador alemán, de origen surcoreano, Binyung-Chul Han, es quien ha interpretado con mayor nitidez, y se podría añadir pesimismo, esta imagen distorsionada y desdibujada de una Europa que se sitúa ante el dilema de ganar mayor eficacia y eficiencia en la lucha sanitaria contra el virus en detrimento de las libertades y valores de las que ha sido estandarte mundial. En sus propias palabras:

«La covid-19 probablemente no sea un buen presagio para Europa y Estados Unidos. El virus es una prueba para el sistema. Los países asiáticos, que creen poco en el liberalismo, han asumido con bastante rapidez el control de la pandemia, especialmente en el aspecto de la vigilancia digital y biopolítica, inimaginables para Occidente. Europa y Estados Unidos están tropezando. Ante la pandemia, están perdiendo su brillo. Zizek ha afirmado que el virus derribará el régimen de China. Zizek está equivocado. Eso no va a pasar. El virus no detiene el avance de China. China venderá su estado de vigilancia autocrática como modelo de éxito contra la epidemia. Exhibirá por todo el mundo aún con más orgullo la superioridad de su sistema. La covid-19 hará que el poder mundial se desplace un poco más hacia Asia. Visto así, el virus marca un cambio de era.»[2]

A buen seguro es prematuro determinar si estamos en un cambio era, pero el régimen que Han denomina de «vigilancia biopolítica» con mayor o menor extensión ya ha llegado a la UE y a los Estados Unidos. Hasta ahora se podía observar gracias a las revelaciones del analista de la NSA, Edward Snowden, del caso del sargento Manning, o de las manipulaciones ideológicas de Cambridge Analytica. Estas y otras muchas vulneraciones han resquebrajado los principios de las democracias occidentales por motivos de seguridad nacional o por pura manipulación psicopolítica.

El paradigma de privacidad europeo materializado en el RGPD se había erigido como la reacción, en términos de derechos y libertades, contra esos abusos. Sin embargo, como señala el propio Han, la “virología” se superpone a la privacidad, y ya no solo interesan nuestras comunicaciones o nuestras opiniones en redes sociales, el objetivo es el control y disciplina de nuestro cuerpo, nuestro estado de salud, lo cual puede provocar una limitación de esos derechos y libertades, un abandono de la concepción liberal postrevolucionaria.

La paradoja está en que hasta el inicio de la pandemia Europa acusaba a Estados asiáticos democráticos como Japón, Corea del Sur, Taiwán o Singapur de tener una mentalidad autoritaria, a la vez que unas sociedades con muy poca conciencia crítica ante la vigilancia electrónica. Mientras que China, y el convulso Hong Kong, se entendían como sometidos a una “dictadura digital”, y se podría añadir real. Sin embargo, la digitalización, a través del Big Data, de la Inteligencia Artificial, el análisis de macrodatos, etc. permite salvar vidas. La falta del espíritu reivindicativo de las sociedades asiáticas se suple con un ahora admirado civismo.^[3] Este es el gran dilema al que se enfrentan los europeos y los estadounidenses.

Alessandra Pierucci, presidenta del Comité de la Convención 108 y Jean-Philippe Walter, Comisionado de Protección de Datos del Consejo de Europa, haciéndose eco de la mencionada disyuntiva, afirman que la privacidad y la protección de datos no deben ser obstáculo para salvar vidas, pero recuerdan su carácter esencial y su vigencia:

«While it is crucial to make clear that data protection can in no way be an obstacle to save human lives, it is equally crucial to reaffirm that the exercise of human rights, and notably the rights to privacy and to data protection are still applicable. Data protection principles always allow for balancing the interests at stake. Convention 108 sets forth high standards for the protection of personal data which are compatible and reconcilable with other fundamental rights and relevant public interests. The principles enshrined in several international and national instruments cannot be suspended but only restricted in a lawful manner, and so for defined limited duration».[4]

Esta llamada a la ponderación de dos de los máximos garantes de la protección de datos en el ámbito continental europeo es sin duda un mal augurio. Las tentaciones de adoptar los modelos asiáticos, incluso los más «softs», sobrevuelan la tradicional cultura de derechos y libertades europea. El análisis de las aplicaciones de seguimiento de contactos COVID 19 en los países asiáticos nos conduce a diversas conclusiones.

En primer lugar, no sorprende que los sistemas digitales de seguimiento de contactos COVID, tales como «Alipay Health Code», de la República Popular China no sean adecuados a la normativa europea y a las recomendaciones de las instituciones europeas. La pandemia no ha hecho más que incrementar el control y la vigilancia de los usuarios chinos con información de carácter sanitario y con una mayor trazabilidad de sus movimientos. La no utilización de protocolos seguros, la ausencia de transparencia y la desviación de las finalidades, no son más que abusos a los derechos humanos, que no legitiman ni justifican, ni siquiera con un pragmatismo exacerbado, la grave injerencia en la privacidad y la protección de datos. La brecha en garantía de derechos y libertades entre la UE y el gigante asiático se agranda aún más tras esta crisis global.

El caso de Hong Kong, región especial de China, es muy particular por los condicionantes jurídicos, políticos e históricos. A pesar de contar con una de las primeras normativas de protección de datos de la región su aplicación «StayHomeSafe» no es adecuada al RGPD ya que se basa en la localización a través del geoperimetraje del afectado. Este aplicativo es altamente intrusivo y no cuenta con las salvaguardas exigidas por la normativa europea. En este sentido, cabría plantearse si se está produciendo un retroceso en los elevados estándares de privacidad y protección de datos de los que Hong Kong había disfrutado. El contexto actual apunta a un intento del gobierno chino de recortar los derechos y libertades, esta involución estaría en la línea de los acontecimientos.

El caso de la aplicación «Corona 100» de Corea del Sur presenta las mismas problemáticas, incluso superiores que «StayHomeSafe» de Hong Kong. Esta democracia asiática, que está siendo objeto de escrutinio en cuanto a privacidad y protección de datos por la UE, ha adoptado una solución que tensiona los derechos y libertades de sus ciudadanos y que no es conforme a los principios del RGPD. Ambos supuestos, el de Hong Kong y Corea del Sur conducen a un concepto muy amplio de interés público, el cual entendería que el derecho a la vida es preferente a la privacidad. Aunque es un falso debate, ya que se puede lograr una alta eficiencia en la gestión sanitaria cumpliendo con elevados estándares de privacidad. A estos dos países hay que sumar Taiwán que igualmente ha aplicado mecanismos de trazabilidad con la ausencia de anonimización, elementos a los que hay que añadir la obligatoriedad que estarían en contra del RGPD. Este país de especial estatus internacional, a pesar de contar con una normativa avanzada haría un uso desproporcionado de los datos personales de los usuarios de su aplicación «SafeEntry» no conforme con la legislación europea. La aplicación «PeduliLindungi» de Indonesia cuenta con mayores impedimentos, si cabe, que los anteriores aplicativos, pues el país, no cuenta con un contexto normativo de protección de datos homologable al de la UE, que pueda compensar las medidas invasivas y desproporcionadas como ocurre en Hong Kong o Corea del Sur.

En consecuencia, en los casos de China, Hong Kong, Taiwán, Corea del Sur e Indonesia se cumpliría la hipótesis de contar con aplicaciones de seguimiento de contacto COVID-19 no conforme con el RGPD. En el extremo contrario, es decir, que cuentan con aplicaciones que son adecuadas con la normativa de protección de datos de la UE, hallaríamos a Singapur y a Japón. El primero de estos países ha recibido tradicionalmente críticas de exceso de control y vigilancia digital, no obstante, su aplicación, «TraceTogether», cumpliría los requerimientos técnicos sustanciales que exigen las recomendaciones de las instituciones europeas. La misma afirmación es aplicable a COVID-19 Contact App, a un contexto homologado plenamente por la UE, se suma la utilización de la plataforma desarrollada por Apple y Google, API, que ha recibido la validación por la UE y EEUU.

Para finalizar, se puede concluir como la disminución de la privacidad y de la protección de datos personales no es lo que otorga una mayor eficiencia a la lucha contra la pandemia, sino un sistema sanitario lo suficientemente robusto para gestionar la información y efectuar las acciones que sean necesarias con la información que ofrecen las aplicaciones alineadas con el RGPD. Si atendemos a la finalidad principal de las aplicaciones, que es el seguimiento de contactos COVID-19 para prevenir la expansión de la pandemia, los exigentes requerimientos establecidos por la normativa europea no son ningún obstáculo o impedimentos para que se cumpla con la misma. Por tanto, es una falacia que el estado de vigilancia digital con deriva totalitaria asiático sea la clave del éxito, tal como señalaba Binyung-Chul Han. Por el contrario es la existencia sinérgica de sistemas de recopilación de la información preventivos y eficientes, que actúen de manera proporcional y con todas las garantías, con estrategias sanitarias públicas adecuadas a la situación de pandemia.

Josep Cañabate Pérez
Profesor de la Facultad de derecho – UAB, vocal ENATIC.

[1] El 25 de mayo 2018 se produjo la aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Diario Oficial de la Unión Europea (en adelante, DOE), L-119/1, de 5 de mayo de 2016, pp. 1-88.

[2] Han, Byung-Chul. «El virus es un espejo, muestra en qué sociedad vivimos». El Tiempo, 16/05/2020. Consultado el 9 de julio de 2020 desde

[3] Han,Byung-Chul. Por qué a Asia le va mejor que a Europa en la pandemia: el secreto está en el civismo, El País, 25/10/2020. Consultado el 29 de octubre de 2020 desde https://elpais.com/ideas/2020-10-24/por-que-a-asia-le-va-mejor-que-a-europa-en-la-pandemia-el-secreto-esta-en-el-civismo.html?ssm=TW_CC.

[4] Comunicado conjunto emitido por parte de Alessandra Pierucci, Presidenta del Comité de la Convención 108 y Jean-Philippe Walter, Comisionado de Protección de Datos del Consejo de Europa respecto de derecho a la protección de datos en el contexto de la pandemia del COVID-19, de fecha, 30 de mayo de 2020. Consultado el 15 de mayo de 2020 desde https://www.coe.int/en/web/data-protection/statement-by-alessandra-pierucci-and-jean-philippe-walter.

Los presupuestos de justicia en el mundo y sus grandes diferencias en cuanto a digitalización

20 mayo, 2021/0 Comentarios/en El Blog de Enatic/por Enatic Abogacía Digital

La comparación de los presupuestos de justicia a nivel internacional no es sencilla, pero puede proporcionar algunas conclusiones de interés. Si comparamos la cantidad de recursos públicos reservada para los órganos judiciales como proporción del PIB de cada país (véase el gráfico 1) hay grandes diferencias: Eslovenia gasta un 0’5% del PIB mientras Japón o Noruega un 0’065%. Puede ser sorprendente comprobar que, estadísticamente, no hay una relación clara entre el gasto en justicia y la duración de los procedimientos judiciales.

GRÁFICO 1: PRESUPUESTO DE JUSTICIA COMO PROPORCIÓN DEL PIB DE CADA PAÍS

Fuente: Palumbo *et al*. (2013a y 2013b)

Sin embargo, sí parece importante cómo se gasta el presupuesto (y, por tanto, no cuánto se gasta). Las tablas 1 y 2 recopilan información de los presupuestos de justicia en distintos países (o familias legales) de la OCDE por tipo de gasto. Más técnicamente, la información corresponde al presupuesto público asignado a los órganos judiciales. Recordemos que España pertenece a la familia romano-francesa en estas clasificaciones.

TABLA 1. PROPORCIÓN DEL PRESUPUESTO EN JUSTICIA POR TIPO DE GASTO (OCDE)

País o región	Salarios	Informatización	Gastos en intérpretes, peritos, expertos, etc.	Costes operativos	Inmuebles	Formación	Otros
Dinamarca	68,5	7,9	0	15,4	–	0,9	7,3
Escocia	39,8	2,9	5,7	19,3	6,8	0,1	25,4
Eslovaquia	64,5	1,5	0,2	6,4	0	1	26,4
Eslovenia	70,8	2,3	21,3	4,3	0,6	0,7	0
Estonia	77	1	3,1	18	–	0,8	0,1
Finlandia	76	4,9	3,3	13	0	–	2,8
Hungría	80,7	2,9	6,2	10,1	–	0,1	0
Inglaterra y Gales	60,7	2,5	5,4	20,1	0,1	0,1	11,1
Irlanda	35,6	3,7	0,1	12,1	38,4	0,8	9,3
Irlanda del Norte	56,3	12	2,9	28,4	–	0,4	–
Islandia	–	1,7	–	–	–	–	–
Israel	67,9	5,6	4,9	10,5	6,8	0,7	3,5
Italia	74,5	1,9	10,4	8,8	–	0	4,3
Japón	61,1	1,8	4,7	0,6	1,7	2,5	27,5
Noruega	63,4	3,6	0	22,4	0,8	1,2	8,5
Nueva Zelanda	50,7	9,7	17,2	13,6	–	0,4	8,5
Países Bajos	74,1	9,9	0,4	11,1	0	2,1	2,5
Polonia	65,5	0,8	10,9	5,1	3,1	0,2	14,5
Portugal	81,2	2	5,2	7,3	0	4,3	–
República Checa	58	2,1	3,5	1,3	0	0	35,1
Rusia	64	3,4	0,4	6,4	7,8	0,3	17,7
Suecia	70,7	2,4	–	14	–	1,2	12,7
Suiza	77,2	4,2	9,6	6,5	0,8	0,4	1,3
Media	65,4	3,9	5,5	11,6	4,5	0,9	10,9

Fuente: Palumbo et al. (2013a y 2013b)

Al igual que algunas economías gastaban más que otras, la distribución del gasto por tipo es también distinta entre países. Hungría, Italia o Portugal gastan alrededor de ¾ de su presupuesto en los salarios de los jueces y empleados del sistema judicial. Irlanda en cambio gasta alrededor de un tercio de su presupuesto para ese mismo fin. Si nos centramos en el gasto en informatización algunos países invierten menos del 2% (Italia o Polonia) frente al casi 10% de los Países Bajos.

Del análisis general surgen distintos “modos de gestión”: los países de “Derecho común” (Common Law) suelen concentrar más recursos en tecnificar el sistema judicial. Los países de la familia romano-francesa invierten más en salarios. Pues bien, son los países que invierten una mayor proporción de su presupuesto en tecnologías de la información y comunicación (TIC) los que muestran también duraciones de los procedimientos judiciales menores^[1].

TABLA 2. PROPORCIÓN DEL PRESUPUESTO EN JUSTICIA POR TIPO DE GASTO POR FAMILIA LEGAL (OCDE)

FAMILIA LEGAL	Salarios	Informatización	Gastos en intérpretes, peritos, expertos, etc.	Costes operativos	Inmuebles	Formación	Otros
Derecho común (Common Law)	51,8	6,1	6	17,3	13	0,4	11,6
Derecho romano-francés	76,6	4,6	5,3	9,1	0	2,1	3,4
Derecho germánico	69,4	2,1	7,4	6,5	1	0,7	13,1
Derecho nórdico	69,7	4,1	1,1	16,2	0,4	1,1	7,8
Antiguos países socialistas	64	3,4	0,4	6,4	7,8	0,3	17,7
Media	65,4	3,9	5,5	11,6	4,5	0,9	10,9

Fuente: Palumbo et al. (2013a y 2013b)

Toda esta información puede ser ampliada en las referencias mencionadas al final del artículo.

Juan S. Mora-Sanguinetti^[2]|
Vicepresidente de Enatic

Referencias

Mora-Sanguinetti, J. S. (2013) “El funcionamiento del sistema judicial: nueva evidencia comparada”. Boletín Económico-Banco de España 11. 57-67.

Palumbo, G., Giupponi, G., Nunziata, L. y J. S. Mora-Sanguinetti (2013a). “The Economics of Civil Justice: New Cross-Country Data and Empirics”. OECD Economics Department Working Papers No. 1060.

Palumbo, G., Giupponi, G., Nunziata, L. y J. S. Mora-Sanguinetti (2013b). “Judicial performance and its determinants: a cross-country perspective”. OECD Economic Policy Paper No.5.

Notas

[1] El coeficiente de correlación se encuentra en el 0.35.

[2] Las opiniones y las conclusiones recogidas en este artículo representan las ideas del autor, con las que no necesariamente tiene que coincidir el Banco de España o el Eurosistema.

Factores que contribuyen a la llegada a buen puerto de la función del Delegado de Protección de Datos

21 abril, 2021/0 Comentarios/en El Blog de Enatic/por Enatic Abogacía Digital

El Delegado de Protección de Datos (DPD), centrándome exclusivamente en el sector privado, se erige en la figura clave para impulsar el cumplimiento de la normativa de protección de datos, tanto en aquellos supuestos de nombramiento obligatorio como voluntario.

Como todo “oficio” de nuevo cuño, el éxito de la implantación de la figura del DPD pivota en factores de diversa índole, todos ellos necesarios, que dependen unas veces del responsable del tratamiento y, otras veces, de las cualidades y aptitudes del propio DPD. Veamos:

Factores que dependen del responsable del tratamiento

Resulta imprescindible que el DPD esté investido de “autoridad jerárquica” y a ello contribuye:

Compromiso firme de cumplimiento por la alta dirección, garantía de autonomía e independencia en el desarrollo de sus funciones, reporte directo a la alta dirección, dotación de recursos y medios suficientes.
Aprobación y difusión de un estatuto con la descripción de las funciones que corresponden al DPD, estableciendo de manera expresa la obligación de consultar y, correlativamente, la disponibilidad y accesibilidad que se espera del DPD, aclarando que la responsabilidad ante posibles sanciones no es atribuible al DPD sino que lo es, únicamente, al responsable del tratamiento.
Gobernanza de los datos: Aprobación y difusión de políticas, protocolos y procedimientos para garantizar la gestión proactiva, adaptados a la realidad organizativa y a los tratamientos realizados por el responsable; publicitar interna y externamente el canal del DPD; creación de un grupo multidisciplinar con los departamentos que habitualmente tratan datos personales en el desarrollo de sus funciones.

Factores que dependen del DPD

Para no ser percibido únicamente como una figura de control (que lo es) pero ajena al día a día o, lo que es peor, como una suerte de “paralizador sistemático de proyectos”, resulta imprescindible que el DPD esté investido de “autoridad moral” y a ello contribuye:

Conocimiento profundo de la organización y de la realidad de la actividad desarrollada por el responsable del tratamiento, contribuyendo a “aterrizar” la normativa: La revisión ordinaria o extraordinaria del registro de actividades de tratamiento, de los planes de acción derivados del análisis de riesgos o de las evaluaciones de impacto de privacidad son momentos óptimos para conectar y detectar aspectos de mejora, cambios relevantes o inquietudes planteadas por los profesionales que tratan datos personales.
Impulsar una cultura de cumplimento de la normativa de protección de datos: Adaptar la formación a la realidad de cada profesional con conceptos claros, precisos y ejemplos prácticos; difusión personalizada mediante el envío de píldoras informativas, recopilatorio semanal de noticias destacadas y su relación con aspectos del día a día o, resumen de resoluciones e informes relevantes por ámbitos de actividad de tratamiento, concretando propuestas de mejora.
Empatizar, mostrarse accesible y generar confianza: Evitar discursos del tipo “las sanciones pueden ascender a 20 millones de € o al 4% de la facturación”, lo sabemos y tiene un cierto efecto paralizante. El discurso debe focalizarse en lo que puede (y debe) hacerse, conceptos como la prevención, la detección y mitigación del riesgo, el hecho que siempre es mejor consultar a tiempo que generar un problema y, en resumen, que debe contarse con el DPD desde la fase de diseño, por cuanto “el RGPD no prohíbe, indica el camino” y la función del DPD es ayudar a descubrir y concretar ese camino.

La suma de los anteriores factores contribuye, sin duda, a lograr que la protección de datos no sea percibida como “cosa” del DPD, sino que sea asumida como un compromiso por parte de todos y cada uno de los profesionales que integran la estructura del responsable del tratamiento y, de esa manera, llegar a buen puerto.

Isabel Mascaró Currás
Compliance Officer, Delegada de Protección de Datos y Vocal ENATIC.

Los NFT y la evolución de la economía digital

12 abril, 2021/0 Comentarios/en El Blog de Enatic/por Enatic Abogacía Digital

El objetivo de este post es intentar explicar cómo los criptoactivos y especialmente los llamados NFT (Non Fungible Tokens) o fichas no fungibles pueden ayudar a redistribuir la riqueza y proteger el valor que aportan las personas con su trabajo en la era digital incidiendo en sus actuales debilidades y fortalezas. Los NFT tienen la característica de ser un objeto no fungible y eso permite que las unidades de fichas (o tokens) no puedan ser reemplazadas por otras idénticas ya que son activos únicos y distinguibles unos de otros.

Empecemos por definir qué es un criptoactivo. Según el artículo 3 de la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a los mercados de criptoactivos y por el que se modifica la Directiva (UE) 2019/1937 (o Reglamento MiCA), un criptoactivo es una representación digital de valor o derechos que puede transferirse y almacenarse electrónicamente, mediante la tecnología de registro

descentralizado o una tecnología similar.

La propuesta de Reglamento se integrará en un paquete de finanzas digitales, cuyas medidas estarán dirigidas a explotar en mayor grado y apoyar el potencial de las finanzas digitales en términos de innovación y competencia, reduciendo al mismo tiempo los riesgos.

El paquete comprende una nueva Estrategia de Finanzas Digitales para el sector financiero de la UE cuyo objetivo es garantizar que la Unión adopte la revolución digital y la lidere con la ayuda de empresas europeas innovadoras a la vanguardia, de manera que los beneficios de las finanzas digitales estén al alcance de los consumidores y las empresas de Europa.

Por lo tanto, además de la presente propuesta, el paquete incluirá una propuesta de régimen piloto sobre infraestructuras del mercado basadas en la tecnología de registro descentralizado (TRD), una propuesta relativa a la resiliencia operativa digital y una propuesta para aclarar o modificar determinadas normas conexas de la UE en materia de servicios financieros.

Centrándonos en la propuesta de Reglamento MiCA, podemos diferenciar dos grandes tipos de criptoactivos según son considerados estables o no.

Por un lado los criptoactivos estables serían aquellos que se consideran “fichas referenciada a activos” o “fichas de dinero electrónico” (los términos de ficha o “token” se pueden utilizar indistintamente):

Los criptoactivos de “ficha referenciada a activos” son un tipo de criptoactivo que, a fin de mantener un valor estable, se referencia al valor de varias monedas fiat de curso legal, una o varias materias primas, uno o varioscriptoactivos, o una combinación de dichos activos.

Los criptoactivos de “ficha de dinero electrónico” son un tipo de criptoactivo cuya principal finalidad es la de ser usado como medio de intercambio y que, a fin de mantener un valor estable, se referencia al valor de una moneda fiat de curso legal.

La propuesta también regulará las fichas de servicio que son un tipo de criptoactivo usado para dar acceso digital a un bien o un servicio, disponible mediante TRD, y aceptado únicamente por el emisor de la ficha en cuestión.

Los criptoactivos funcionan a través de redes de contratos inteligentes (smart contractsi) basadas en las tecnologías de registros distribuidos (TRD o DLT) llamada comúnmente como “blockchain”ii y que permiten su operativa en base a instrucciones programadas (e inmutables) y autorizadas por sus titulares con claves privadas.

Los NFT es un tipo de token o ficha criptográfica que representa un activo único, irrepetible y limitado en su emisión o cantidad. Los NFT permiten asignar un valor a bienes, servicios o derechos referenciados aprovechando las características de las tecnologías de registros descentralizados y dichas fichas funcionan como prueba de autenticidad y titularidad de su propiedad ante terceros.

Que las NFT no funcionen como por ejemplo Bitcoins (activos fungibes), se basa en el protocolo o estándar que le aporta ciertas características en la operativa que aporta dichas cualidades al NFT.

Con este tipo de tecnología podemos pasar a un tercer nivel de funcionalidades de internet, es decir de la web 1.0 que aporta información, pasando por la web 2.0 actual que permite las interacciones P2P o las redes sociales, hasta la web 3.0 que amplía la posibilidad de intercambiar valor entre usuarios de forma autónoma y descentralizada a través de la red.

Uno de los gurús, tecnólogo y filósofo de las TIC, Jaron Lanier, ya ha advertido durante años que las grandes empresas de internet (GAFAM) explotan la información que generamos los usuarios sin que podamos recibir ninguna contraprestación a cambio (o por lo menos no de forma equitativa en proporción a lo que nos pueden ofrecer en forma de servicios). Desde los datos personales, la publicación de un artículo o la creación de un gif animado hasta traducir frases o identificar imágenes del Captcha son activos que muchos usuarios comparten aportando valor a la red y que sólo los grandes de internet explotan hasta conseguir generar cientos de miles de millones de dolares de beneficios al año sin retribución equitativa o de ningún tipo a cambio.

Por ello Jaron propuso el desarrollo de las “Mediators of Individual Data” (MIDs). Las MID tendrían una primera función que sería la negociación colectiva del precio de producir datos o cualquier tipo de información. De esta forma serían los MIDs y no el usuario productor de información o datos el que negociara con los grandes monopolios de la industria del dato (entre ellos los GAFAM). Según palabras de Jaron, “la gente debería poder formar parte de un MID y hacer un aporte, a la vez que se le garantiza un pago justo por la tarea que sepa hacer”. El MID funcionaría como un sindicato de los usuarios cuando actúen como productores de activos digitales.

Aquí es donde las NFT pueden tener una gran relevancia en el control de la titularidad, identificación, autenticidad, asignación y transferencia de valor de los activos digitales. No obstante debemos ser conscientes que en este caso con el uso de los NFT resolveríamos una parte del problema que sería determinar la titularidad del criptoactivo pero no de los bienes y derechos subyacentes o referenciados por las fichas o tokens. Es decir, actualmente la titularidad de un token no garantiza la titularidad de los derechos de los bienes o activos que representa o referencia. Incluso tampoco garantiza que el mismo bien o activo referenciado pudiera ser “tokenizado” por otros estándares si no se implementan sistemas seguros e interoperables de TRD (como las tecnologías de cadenas cruzadas o el “Cross Chain”) así como la importancia de la consolidación de oráculos de confianza (tanto centralizados como descentralizados). Dichas garantías las deben aportar los ordenamientos jurídicos de cada estado que son los que determinan la legitimidad de la titularidad de bienes y derechos así como su forma de transmitirlos.

No se quiere quitar importancia a la tecnología que permite la transmisión de valor contenida en criptoactivos en infraestructuras de “blockchain”, pero es importante recordar que no es un registro de propiedad o de derechos que sustituya al establecido en los ordenamientos jurídicos de los estados. No olvidemos que una de las propiedades de “blockchain” es la determinación de validez de una transacción por una política basada en el consenso y que se está generando una opinión pública que al

no tener supervisión centralizada por una autoridad genera más confianza.

Un ordenamiento jurídico se compone de un acervo cultural de cientos de años de evolución y acuerdos entre personas que regulan nuestra forma de relacionarnos y convivir. Un principio que hace funcionar una tecnología, por muy justo que parezca no sustituye a toda la cultura jurídica de la humanidad.

Eduardo López Román
Vocal de Enatic

Más información:
Contratos inteligentes: los “smartcontract”

Autor: Cottombro (Vía Pexels)

El consentimiento en el nuevo escenario digital

13 enero, 2019/0 Comentarios/en El Blog de Enatic/por Enatic Abogacía Digital

El actual escenario digital de la sociedad comporta riesgos para los derechos y libertades de los ciudadanos, ya que la cantidad de información relacionada de diferentes fuentes, la concentración y la difusión de esta información en plazos inmediatos de tiempo, puede dar la sensación de inseguridad y de pérdida de control a los titulares de los datos como “parte débil” del tratamiento.

La información se transforma en el eje vertebrador que permite acceder a mejores servicios, a productos más personalizados, a obtener información más disponible, avances científicos, etc. Hay autores que consideran que los datos son “el oro negro del siglo XXI” ya que es el combustible que hace que las empresas crezcan y sean competitivas, pero para que este crecimiento sea equilibrado se debe diseñar adecuadamente y dar las garantías suficientes a los titulares de esta información.

En este contexto, toma especial relevancia la transparencia, la necesidad de demostrar que se tiene la voluntad de cumplir y que esta voluntad no es un mero escenario. Los responsables de los tratamientos deberán, entre otras cosas, informar adecuadamente de las finalidades, del tipo de datos que van a recogerse, de la existencia del derecho a retirar el consentimiento sin ningún perjuicio para sus derechos y libertades, etc. En definitiva, se deberá poder demostrar que las personas han aceptado las operaciones del tratamiento de manera libre e informada, y que en todo momento se respetan los principios de la legislación aplicable en materia de protección de datos, y en especial, los principios de lealtad, necesidad, proporcionalidad y calidad de datos.

Es importante que los responsables de los tratamientos estén convencidos de que el cumplimiento de la legislación de protección de datos supone una oportunidad de mejora continua de sus servicios y de la calidad de sus productos, y en consecuenia, diseñen sus sistemas de información de manera que garanticen que cualquier persona física pueda decidir efectivamente sobre el control de su información personal y si es el caso, consentir de manera libre y no coaccionada cualquier tratamiento de sus datos.

Definición de consentimiento

El consentimiento es una de las bases jurídicas para el tratamiento de datos personales que se enumeran en el art. 6 del Reglamento General de Protección de datos (UE) 2016/679 en adelante (RGPD) y se configura en la legislación como la capacidad real de aceptar o no y otorga a los titulares el control sobre sus datos personales. Si el interesado realmente no tiene el control, la capacidad de decidir se diluye y no podemos hablar de una actividad lícita.

El RGPD en el art. 4 ap. 11 define el consentimiento como:” toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

La Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) en su art. 6 también define el consentimiento “toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

El control sobre la información personal debe estar en manos del interesado sin que se vea obligado o coaccionado a aceptar tratamientos de su información si no es su voluntad. Para que éste sea válido debe ser reversible sin que perjudique de ninguna manera al titular de los datos.

Elementos para un consentimiento válido

En el caso que el responsable del tratamiento haya determinado que la base de legitimación es el consentimiento, debe diseñar sus sistemas de información para garantizar que éste sea válido. Deberá tener en cuenta los aspectos que a continuación analizaremos:

Manifestación de voluntad libre

Es imprescindible que el titular de los datos no se encuentre obligado a aceptar por temor a las consecuencias perjudiciales que la negativa le pueda ocasionar. Por tanto, a la utilización del término libre comporta que el interesado pueda elegir libremente y pueda mantener el control sobre su información personal.

Si el titular de los datos se siente presionado, ya sea porque la prestación de servicios solicitada o la ejecución del contrato le obliga a aceptar, o si existe un desequilibrio de poder o alguna condicionalidad que le perjudica, el consentimiento quedará invalidado.

Se pueden dar situaciones en las que es difícil determinar que la manifestación de voluntad es libre si existe un desequilibrio de poder, como en las relaciones laborales dónde conviven diferentes fuentes de legitimación. El responsable tendrá que diseñar procedimientos de obtención del consentimiento que preserven la independencia de la elección y garanticen que la negativa al tratamiento no comporta consecuencias negativas para el titular de los datos.

Resulta imprescindible un análisis detallado sobre qué datos son imprescindibles para la formalización de un contrato o la prestación de un servicio para poder valorar situaciones de supeditación o de vinculación. Si se determina que el tratamiento de datos es imprescindible, la base de legitimación no sería el consentimiento y por tanto no se aplicaría el art. 7.4 del RGPD.

En el art. 6.3 de la LOPDGDD, se determina que “No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual”. En la misma línea, el RGPD indica que de ninguna manera se podría vincular el consentimiento a la aceptación de términos y condiciones generales del contrato

El legislador, tanto europeo como nacional, señala la condicionalidad como una presunción de falta de libertad para otorgar el consentimiento. Los responsables del tratamiento, como muestra de responsabilidad proactiva, deben poner especial atención para poder demostrar que la condicionalidad no existe ni tampoco el perjuicio para el interesado.

Manifestación de voluntad específica

La LOPDGDD en su art.6.2 indica que “Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas”.

El responsable debe informar de los fines perseguidos los cuales deben ser determinados y específicos para la finalidad perseguida. La determinación y especificación de los fines de tratamiento resulta imprescindible y una garantía para que el uso de la información no se difumine de manera gradual de los fines para los que se produjo la recogida inicial de los datos. Por tanto, debe haber una clara separación entre la información relacionada con la obtención del consentimiento de otras actividades.

En el caso que el formato sea en papel o en contratos electrónicos, la obtención del consentimiento debe quedar claramente diferenciada de las otras cuestiones y deberá ser una solicitud separada y diferenciada de las condiciones generales. En el caso de pantallas pequeñas se podría facilitar la información por capas.

Manifestación de voluntad informada

El RGPD pone especial énfasis en la necesidad de reforzar la información facilitada para conseguir un consentimiento libre. Es, también, uno de los requisitos de la transparencia relacionados con los principios de lealtad y licitud. Esta información necesariamente se debe facilitar antes del inicio del tratamiento y debe mostrarse de manera accesible, ya que de otra manera el titular de los datos este perdería el control.

Los requisitos mínimos para que el consentimiento sea informado son:

Identidad del responsable del tratamiento.
El fin de cada una de las operaciones de tratamiento para las que se solicita en consentimiento.
Tipo de datos que se van a recoger y a utilizar.
La existencia del derecho de retirar el consentimiento.
La información sobre el uso de los datos para decisiones automatizadas de conformidad con el art. 22, ap. 2 letra c) cuando sea pertinente.
La información sobre los posibles riesgos de transferencia de datos debido a la ausencia de una decisión de adecuación y de garantía adecuadas, tal y como se describen en el art. 46.

En el caso que existan múltiples responsables que actúan conjuntamente se deben nombrar a todas las organizaciones y se debe indicar los tipos de datos que van a recogerse y como se van a utilizar. En el caso de encargados de tratamiento, no es necesario indicar cuáles son como requisito para prestar el consentimiento, aunque según se establece en los arts. 13 y 14 del RGPD los responsables deberán facilitar una lista completa de los receptores de los datos que incluyan los encargados. Se debe tener especial atención a lo establecido en el art. 33.2 de la LOPDGDD ya que en este articulo se indica que aunque el contenido del contrato que regula la prestación de servicios formalmente tenga la apariencia de la figura de engarcago de tratamiento por tener el conenido del art. 28.3 del RGPD, en el caso que el encargado actue en nombre propio sin que conste que actua por cuenta de otro, estaremos delante de un responsable de tratamiento y no de un encargado.

La información facilitada deberá adaptarse al caso en concreto en función de los destinatarios, los medios del responsable, el tipo de tratamiento, etc. En general, se debe utilizar un lenguaje claro y sencillo comprensible para el público al que va dirigido y con el medio que se considere más efectivo. El acceso a la información también debe ser fácil y, por tanto, no puede quedar difuminado en medio de condiciones generales de las políticas de privacidad.

Manifestación de voluntad inequívoca

El RGPD determina que un consentimiento válido requiere de una manifestación inequívoca de dicha voluntad mediante una declaración o una acción afirmativa clara. En consecuencia, el interesado debe actuar de forma deliberada mediante una declaración escrita, verbal o efectuada por medios electrónicos para manifestar su consentimiento.

El responsable no debe diseñar los procesos de obtención del consentimiento de manera ambigua ya que debe quedar claro que el consentimiento por parte del titular de los datos es inequívoco. Por tanto, no será admisible la obtención del consentimiento mediante las condiciones generales del contrato, casillas pre-marcadas, etc.

En el caso de medios digitales, la manifestación de voluntad inequívoca se podría obtener mediante la interrupción de la experiencia del usuario para que resulte evidente la acción afirmativa clara. El problema puede surgir si el dispositivo técnico diseñado para obtener el consentimiento es demasiado invasivo y pesado, ya que de esta manera el interesado puede aceptar sin que libremente esté dispuesto a hacerlo ya que lo único que quiere es continuar con su servicio. En este caso sería difícil demostrar que se ha recabado un consentimiento libre.

Puede suceder que los responsables del tratamiento diseñen procedimientos en el ámbito digital en los cuales constantemente se piden aceptaciones a los usuarios, que al final, ya no leen por lo que pierden su eficacia. El RGPD impone a los responsables la obligación de desarrollar maneras de abordar este tema como podría ser la configuración del navegador u otras medidas técnicas para garantizar el consentimiento libre de los usuarios.

Las acciones diseñadas para obtener el consentimiento deben ser claras y evitar la ambigüedad y garantizar que la acción para la cual se presta el consentimiento está claramente diferenciada de las demás. Continuar simplemente con el uso del sitio web no es una conducta de la que pueda inferirse una indicación de que el interesado desee mostrar su acuerdo respecto a una operación de tratamiento.

Obtención del consentimiento explícito

La nueva legislación indica que en el caso de categorías especiales de datos (art. 9 RGPD) o de transferencias internacionales a terceros países u organizaciones internacionales en ausencia de garantías adecuadas es necesario obtener el consentimiento explícito (art.49 RGPD). También es necesario el consentimiento explícito sobre los tratamientos que comporten decisiones individuales automatizadas incluida la elaboración de perfiles (art. 22 RGPD).

Explícito se refiere a la manera en la que el interesado muestra su conformidad. Por tanto, se podría obtener mediante la aceptación de una casilla en un formulario para eliminar cualquier duda, por medio de una conversación telefónica grabada, etc.siempre que se haya informado adecuadamente de manera previa a la aceptación.

Condiciones adicionales para la obtención del consentimiento válido

Los responsables del tratamiento de datos deberán diseñar sus procesos para poder obtener, mantener y demostrar que han conseguido un consentimiento válido. Estos procesos se pueden adaptar a sus protocolos de funcionamiento diario en función de la tecnología o la metodología que utilicen.

En resumen, el responsable deberá poder demostrar:

Que informó adecuadamente y que el proceso de obtención del consentimiento se diseñó de manera efectiva para la finalidad perseguida.
Que el consentimiento sigue siendo válido mientras dure la actividad del tratamiento.
Que el interesado puede retirar su consentimiento en cualquier momento y que se haga de una manera tan fácil como se prestó inicialmente.
Que el efecto de revocación del consentimiento produce los efectos de borrado de los datos. En el caso que el responsable quisiera cambiar la base jurídica del tratamiento, deberá notificarlo al interesado de conformidad con los requisitos de transparencia.

Según la LOPDDGG, el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de 14 años. En otros casos, será necesaria la obtención del consentimiento de sus representantes legales y el responsable del tratamiento deberá diseñar sistemas para poder verificar de manera razonable la edad y la patria potestad del menor.

En el caso que se presten servicios de la sociedad de la información a niños sobre la base del consentimiento se espera que los responsables adopten las medidas razonables para verificar que el usuario supera la edad del consentimiento digital y adopten medidas de comprobación de la misma.

Los mecanismos de comprobación de la edad del menor y la identificación de la patria potestad deben ser proporcionales y obtener una mínima cantidad de información, la cual, debe ir directamente relacionada con los riesgos inherentes al tratamiento.

Consentimiento otorgado con anterioridad a la entrada en vigor del RGPD

Los responsables que tratan datos sobre la base del consentimiento están obligados a revisar los procesos de obtención del consentimiento y a renovarlos de acuerdo con las exigencias de la nueva legislación aplicable.

Modificar únicamente las políticas de privacidad puede no ser suficiente si el procedimiento de obtención del consentimiento de los datos no fué el adecuado. Los tratamientos basados en consentimientos tácitos, por ejemplo basados en casillas pre-marcadas o inacciones se deberán analizar y determinar si existe una base jurídica que sustente el tratamiento, en caso contrario deberán obtenerse el consentimiento de acuerdo con las exigencias del RGPD:

También será necesario revisar las formas de revocación del consentimiento y si se ajustan a las disposiciones del RGPD.

Conclusión

En el nuevo escenario que ofrece el RGPD y LOPDGG, el responsable debe diseñar todos sus procesos para obtener un consentimiento válido desde el inicio del tratamiento hasta la finalización del mismo y diseñar estrategias que le permitan ir renovando el mismo de manera periódica.

La nueva regulación supone un reto para las organizaciones ya que la licitud, lealtad y la transparencia en el tratamiento de los datos debe ser la base de cualquier proyecto que se desarrolle y supone una implicación de los diferentes departamentos de las mismas en la consecución de los fines concretos.

Marta López Benito

Asociada de ENATIC

Fuentes:

Directrices sobre el consentimiento en el sentido del Reglamento (UE) 2016/679 http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051
Dictamen 15/2011 sobre la definición de consentimiento (WP 187). http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2011/wp187_en.pdf
Dictamen 03/2016 sobre la evaluación y revisión de la Directiva sobre privacidad las comunicaciones electrónicas. http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2016/wp240_en.pdf
(http://www.computing.es/analytics/noticias/1107647046201/datos-oro-negro-del-siglo-xxi.1.html

Katie Moum (vía Unsplash)

Reflexiones sobre el delegado de protección de datos en el sector público

30 octubre, 2018/0 Comentarios/en El Blog de Enatic/por Enatic Abogacía Digital

La posible afectación de los derechos y libertades de las personas en relación a los datos de carácter personal debe ser objeto de atención para todo jurista y profesional especializado en este sector pero, sí además se está prestando un servicio en la Administración, como empleado público (funcionario o laboral), debemos ir un paso más allá y orientar nuestros esfuerzos al incremento de la calidad de vida de la ciudadanía.

En general, es necesaria una mayor concienciación en materia de privacidad y disminuir el desequilibrio de control entre los titulares y los poseedores de los datos personales.

El sector público no es ajeno a estos ni a otros problemas, presentando además ciertas características que lo hacen objeto de especial atención:

Maneja grandes cantidades de datos.
Existe cierta relajación de las personas administradas porque confían en la Administración y, al tiempo, ésta corre el peligro de relajarse al no estar expresamente sancionada su falta de acción.
La obligatoriedad normativa de la existencia del DPD en la Administración es un claro indicio de la importancia de garantizar ciertos derechos.

La aplicación de la normativa presenta dificultades de carácter práctico, como por ejemplo la falta de disposición en algunas entidades públicas de personas suficientemente cualificadas para ejercer las funciones de DPD por lo que su designación y comunicación a las autoridades de protección de datos puede constituir un formalismo vacío de contenido.

A continuación analizamos algunas obligaciones y aspectos del responsable y del encargado del tratamiento que aparecen recogidas tanto en el Reglamento General de Protección de Datos (RGPD) como en el Proyecto de Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (anteriormente denominado Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal). Deben ser objeto de desarrollo para que se puedan materializar de forma práctica en el sector público:

1. Obligación de garantizar la participación del DPD en las cuestiones relativas a la protección de datos personales

Según el artículo 38.1 RGPD el responsable y el encargado del tratamiento deben asegurar dicha participación, de forma adecuada y en tiempo oportuno. Sin embargo, en determinadas entidades públicas (especialmente las de menor tamaño organizativo) se pueden plantear incógnitas al respecto: ¿Qué cargo o persona concreta de la entidad pública es la encargada de involucrar a este profesional? ¿Cómo lo hará? ¿Cómo establecerá el equilibrio entre su acceso a la información y la confidencialidad o el deber de secreto?

Deberá determinarse la persona o cargo de referencia que velará por “involucrar” de forma efectiva al DPD en la organización. Puede ser útil establecer un procedimiento o protocolo mediante el cual se especifique la forma adecuada de conseguir dicho objetivo, por ejemplo estableciendo los parámetros que permitan asegurar un grado mínimo de participación. Estos procedimientos deberían ser homogéneos para todas las administraciones y atender, además, al desarrollo consensuado de la expresión: “en tiempo oportuno” huyendo de cualquier actuación improvisada o tardía.

Una forma de involucrar al DPD es mediante su participación en reuniones con los cuadros directivos de forma regular. Para ello sería conveniente establecer cronogramas y protocolos sobre el adecuado funcionamiento de dichas reuniones, dejando constancia fehaciente de los acuerdos adoptados en actas. Todo ello para asegurar que, cualquier decisión con implicación en la protección de datos llegará, con toda seguridad, al DPD. Los procedimientos normalizados de trabajo pueden contemplar la prevención de muchos problemas y la forma de resolverlos, como, por ejemplo, el método para consultar con prontitud al DPD ante la existencia de un incidente grave.

El Grupo del Artículo 29 (GT 29) establece que el DPD debe ser tomado en consideración y añade la obligación de argumentar y documentar las razones de no seguir su consejo. Ese especial compromiso es más sólido si se prevén documentalmente estas situaciones y se recoge la forma de proceder en cada supuesto mediante instrucciones o directrices concretas, cómo la determinación de los casos en que debe ser consultado.

La participación está relacionada con la transversalidad y la cooperación y coordinación interdepartamental dentro de la entidad pública. El DPD debe formar parte de los grupos de trabajo que están relacionados con el tratamiento de datos y todas estas relaciones deberían estar previstas y reguladas.

2. Obligación de respaldar al DPD en el ejercicio de sus funciones

De acuerdo con lo preceptuado en el artículo 38.2 RGPDUE, el responsable y el encargado ofrecerán respaldo al DPD. Esto se materializa facilitando:

Acceso a los datos y a las operaciones de tratamiento. (Artículo 36.3 Proyecto LOPD).
Los recursos necesarios para desempeñar sus funciones.
El mantenimiento de sus conocimientos especializados (formación).

Todo ello requiere que, de forma previa, se conciencie y se instruya al empleado público de forma que sea conocedor de estas necesidades para no obstaculizar su puesta en práctica en cada entidad. Pero, además, debería precisarse el alcance real de todos y cada uno de estos aspectos. Al igual que ocurre con otros conceptos jurídicos indeterminados (como “a gran escala”) existe poca claridad y definición que puede ralentizar el ejercicio de las funciones del DPD.

Por eso ofrece mayores garantías la existencia de directrices claras o instrucciones que delimiten con toda la exactitud posible la forma de acceso, los recursos que se consideran mínimamente necesarios y los programas y horas mínimas destinadas a la actualización de conocimientos, así como la organización interna para hacer posible dicha formación.

3. Independencia o autonomía del DPD

Una de las características más importantes de la posición del DPD es su autonomía e independencia (Artículo 38.3 RGPDUE), definida en tres aspectos:

El responsable y el encargado deben garantizar que el DPD no reciba ninguna instrucción relativa al desempeño de sus funciones.
No puede ser destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones.
El DPD rendirá cuentas al más alto nivel jerárquico del responsable o encargado.

La última redacción del Proyecto LOPD ha añadido una frase al anterior artículo 36.2 sobre la Posición del DPD: “Se garantizará la independencia del delegado de protección de datos dentro de la organización, debiendo evitarse cualquier conflicto de intereses”.

Las garantías para asegurar la autonomía del DPD deberían ser concretadas, especialmente en el caso de aquellas personas que desempeñan estas funciones con carácter interno en la entidad pública y, en particular, si compagina la función de DPD con el desarrollo de otras tareas en la entidad.

Cuanto más definidas estén las actividades y más experiencia y conocimientos posean los responsables de cada departamento o área de DPDs, más fácil será lograr una autonomía real.

Respecto a la rendición de cuentas, el DPD reporta su actividad a los más altos responsables de la organización y estos deberían adoptar las medidas adecuadas para cumplir sus indicaciones. Solo así se hace real su actividad de supervisión. Sin embargo esta tarea puede verse obstaculizada por determinados intereses y prioridades de carácter político que hace necesaria la previsión de consecuencias y resolución de este tipo de incidencias mediante procedimientos preestablecidos.

El artículo 36.2 del Proyecto LOPD específica que el DPD sólo podrá ser removido o sancionado si incurre en dolo o negligencia grave en su ejercicio. En el caso de las entidades públicas podemos plantearnos la duda de quién debe instruir estos procedimientos disciplinarios para asegurar una total neutralidad. La determinación del propio concepto “grave” también puede generar incógnitas.

Otro aspecto a estudiar relacionado con la necesidad de autonomía es la posibilidad de ejercer las funciones de DPD por parte de personas en régimen de interinidad.

La consecución de la independencia real puede que sea una de las preocupaciones prioritarias de los profesionales de la protección de datos.

En el caso del DPD interno a tiempo parcial deben establecerse salvaguardas específicas de detección y de adopción de soluciones alternativas si surgen conflictos de intereses. Como en los casos anteriores, la previsión normativa y organizativa resulta imprescindible en el sector público.

4. Otros aspectos sobre la figura del DPD en el sector público

La Agencia Española de Protección de Datos (AEPD) ha considerado necesario establecer un sistema de certificación de profesionales de protección de datos que permite evaluar a los candidatos. Sobre los requisitos de formación del DPD en el sector público, la provisionalidad en la designación de la acreditación de las entidades certificadoras no ayuda. A fecha de hoy sólo dos han conseguido la designación definitiva. A pesar de ser un punto de referencia para acreditar la capacidad y la formación profesional adecuada, el DPD público requiere otros conocimientos relacionados con la legislación y los procedimientos administrativos.

5. Externalización e Internalización

La decisión de externalizar o internalizar el DPD del sector público presenta argumentos a favor y en contra. De un lado la externalización puede generar una disminución en el control. De otro, parece que resulta más fácil asegurar la independencia o autonomía del/de la profesional.

Pero si consideramos que la prestación de servicios relacionados con la protección de datos implica cierto ejercicio de autoridad, la opción de desempeñar el cargo un/a funcionario/a gana terreno. Si optamos por esta solución habrá que consensuar su posición orgánica concreta en la estructura de puestos de trabajo definiendo su estatuto.

Después de escuchar las opiniones de varios profesionales que ejercen las funciones de DPD en el sector público, podríamos priorizar en orden de relevancia los aspectos prácticos más preocupantes a fecha de hoy:

Hacer efectiva la ejecución real del despliegue orgánico que comporta la nueva figura del DPD en el sector público tal y como prevé la normativa. (Y controlar dicho despliegue).
Ofrecer la formación necesaria al personal de todas las administraciones públicas. (En especial a las personas de referencia de cada departamento o área).
Toma de contacto real e inicio de las actividades de cada DPD.
Establecer los criterios básicos mínimos aplicables a todas las administraciones públicas para que la supervisión de la actividad en cada organización sea homogénea.

Las reflexiones sobre todos estos aspectos pueden ayudar a generar debate y ser autoconscientes del punto real de partida en el cual nos hallamos. El análisis de estas situaciones debe servir para prever los problemas y para sugerir soluciones efectivas.

Para ello se va a requerir un esfuerzo considerable de creación de protocolos, procedimientos normalizados de trabajo, instrucciones, circulares y otras normas cuyo objetivo debe ser la homogeneidad en el sector público reduciendo al mínimo la interpretabilidad estableciendo, entre otros aspectos:

La forma de determinación de las personas responsables de los tratamientos.
El modo de ser consultado el DPD ante determinadas incidencias y las consecuencias de no seguir sus consejos.
La manera de hacer del DPD un interlocutor real en la Administración.
Planes y proyectos de organización que aseguren el compromiso de asignación de los recursos y las alternativas en caso de incumplimiento.
Convenios de colaboración transversal entre departamentos definiendo totalmente las responsabilidades y las tareas.
Planes de formación para los profesionales y para el empleado público.

Nos hallamos ante un gran reto, por otro lado apasionante, cuya implicación y responsabilidad de resolución corresponde, además del legislador y las autoridades a todas aquellas personas profesionales del sector de la protección de datos.

Sergio Duarte

RiskPlayWin (vía Pixabay)

Videocámaras en mi local comercial

16 octubre, 2018/0 Comentarios/en El Blog de Enatic/por Enatic Abogacía Digital

Es cada vez más frecuente que comerciantes y profesionales instalen videocámaras en su local comercial. Los principales motivos para la instalación de estas videocámaras son la protección y vigilancia frente a actos vandálicos e ilícitos, así como el control de la prestación de servicios de los trabajadores. Pero… ¿se puede colocar la videocámara donde se quiera, como se quiera y para lo que se quiera?

La respuesta a estas preguntas es clara: NO. En primer lugar, hay que tener en cuenta que estas videocámaras van a grabar la imagen de personas físicas, la cual cosa se traduce en que va a tener lugar un tratamiento de datos de carácter personal y que, por tanto, va a resultar de aplicación la normativa sobre protección de datos de carácter personal. Por otro lado, no hemos de olvidar la normativa referente a la grabación en espacios públicos y privados, ni la referida a la protección de los derechos de los trabajadores (en caso de que en el local comercial, además del empresario, autónomo o profesional, existan trabajadores).

Respecto a la protección de datos personales, vamos a tener que aplicar el Reglamento General de Protección de Datos (en lo sucesivo, RGPD), así como la normativa estatal que sea de aplicación, por lo que hay que revisar los tratamientos que se estén llevando a cabo para cerciorarnos de que cumplen con la normativa vigente. Respecto al RGPD no vamos a incidir en exceso puesto que ya se ha escrito mucho sobre el tema (en este sentido, me remito al artículo “Datos personales: nuevos retos para pequeñas empresas”).

No obstante, es importante tener en cuenta lo siguiente:

El hecho de disponer de una videocámara no va a servir para cualquier finalidad, de modo que si la videocámara se ha instalado a los efectos de seguridad, para la protección y vigilancia frente actos vandálicos de terceros, no van a poder aprovecharse estas grabaciones para sancionar a un trabajador por incumplimiento de sus obligaciones laborales.
Los principios de proporcionalidad y minimización de datos imponen que únicamente se considerará admisible la instalación de videocámaras cuando la finalidad de vigilancia no pueda obtenerse a través otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos para la intimidad de las personas y para su derecho a la protección de datos de carácter personal, la cual cosa hace que difícilmente puedan utilizarse las mismas en determinados espacios, incluso dentro del propio local comercial, tales como vestuarios y, por descontado, servicios.
Debe colocarse uno o más carteles informativos (en función de la zona videovigilada), aunque no hace falta que estén al lado de las videocámaras.
En el plazo máximo de un mes desde la grabación de las imágenes, éstas deben ser borradas, salvo que deban conservarse para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones.

Además, cabe tener presente que no es posible la grabación de la vía pública (lo cual está reservado para las Fuerzas y Cuerpos de Seguridad), salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de las videocámaras, debiendo evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida. Tampoco pueden grabarse espacios privados ajenos.

Si nos centramos ahora en la utilización de las videocámaras con el objetivo de controlar que los trabajadores cumplen con sus obligaciones laborales, debemos decir que este mecanismo está amparado por el artículo 20.3 del Estatuto de los trabajadores, que autoriza al empresario a “adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales […]”, lo que trae consigo que no sea necesario el consentimiento de los trabajadores, ya que el mismo se entiende implícito en la aceptación del contrato de trabajo que, a su vez, comporta el reconocimiento del poder de dirección del empresario. Ello no obsta a que, en el uso de éste o cualquier otro sistema de control, el empleador deberá respetar los derechos fundamentales de los trabajadores, de forma que estas videocámaras únicamente podrán ser ubicadas en los espacios públicos de la empresa (incluido el almacén), pero no en aquellos espacios de uso exclusivo o destinados a actividades íntimas, como servicios o vestuarios.

Por otro lado, existiendo, como hemos comentado, un tratamiento de datos personales derivado de la grabación, es necesario que se informe expresamente a los trabajadores y, en caso de existir, a la representación sindical, acerca de la instalación de las videocámaras con el objeto de llevar a cabo el control empresarial, así como de sus efectos. La captación de las imágenes, sin efectuar la referida comunicación, no es legítima, ya que, aunque la videocámara se coloque en espacios públicos de la empresa, puede ocasionarse una vulneración al derecho a la intimidad del trabajador.

¿Y qué pasa si el empresario tiene indicios razonables de que un trabajador está cometiendo alguna infracción laboral? ¿Puede colocar una videocámara oculta? Como poder, puede, ahora bien, sobre este extremo se ha pronunciado recientemente el Tribunal Europeo de Derechos Humanos, en sentencia de 9 de enero de 2018, en que viene a decir que la videovigilancia oculta a un trabajador en su puesto de trabajo es una injerencia en su derecho a la vida privada. Así, aunque esta videovigilancia oculta se haya implementado tras unas sospechas de hurto por parte de los trabajadores, como en el caso enjuiciado, ha de existir una previa información, aunque sea general, acerca de la instalación del sistema de videovigilancia y de su finalidad, teniendo presente, además, que esta medida solo debería emplearse cuando fuera necesaria e imprescindible para el fin perseguido, no exista otra medida menos lesiva para los derechos fundamentales de los trabajadores y exista una adecuada proporcionalidad entre la duración, objeto y tratamiento de los datos, por un lado, y el fin perseguido, por otro lado.

Laura Melgar Martínez
Abogada y Gestora Administrativa
Socia de Gest&Ius y Abogada de Dereplac Services
LinkedIn (Laura Melgar Martínez)
Twitter (@LauraM_Abogada)

Zsófia Vera Mezei (vía Unsplash)

Última hora del derecho al olvido vs libertad de información

13 septiembre, 2018/0 Comentarios/en El Blog de Enatic/por Enatic Abogacía Digital

«Análisis conjunto de la STC. 58/2018 y de la STEDH de 28 de junio de 2018 (Caso M.L. et W.W. vs. Alemania) y contraste con las previsiones del RGPD.»

El pasado mes de junio se dictaron dos Sentencias, por el Tribunal Constitucional (STC. 58/2018, de 4 de junio) y por el Tribunal Europeo de Derechos Humanos (STEDH de 28 de junio de 2018, Caso M.L. et W.W. vs. Alemania) que, en aparente contradicción, dan un paso más en la doctrina sobre el derecho al olvido y los motores de búsqueda contenida en la archicitada Sentencia del TJUE (Gran Sala) de 13 de mayo de 2014 (asunto C‑131/12, Google Spain, S.L. y Google Inc.).

Recordemos sintéticamente que el TJUE (y actualmente el art. 17.1 a) del RGPD) imponen a los motores de búsqueda la obligación de eliminar los enlaces a páginas web de la lista de resultados basada en el nombre cuando un tratamiento de datos inicialmente lícito pudiera, con el tiempo, no ser ya necesario para los fines para los que fueron recogidos o tratados. El Tribunal otorgó prevalencia al derecho a la intimidad y a la protección de datos, salvo en casos en que la relevancia pública del sujeto u objeto hiciera prevalecer el derecho a la información (en el mismo sentido hoy el art.17.3 a) del RGPD). Por primera vez se dejaba claro que el tratamiento de datos personales realizado constituye una mayor injerencia para los derechos fundamentales del interesado que la publicación de la información en la página web enlazada.

En congruencia con esa doctrina, cuando la Sala Primera de nuestro TS hubo de enfrentarse en su Sentencia de 15 de octubre de 2015 (rec. 2772/2013) a un caso de “derecho al olvido” sobre una noticia relativa a un delito de tráfico de drogas publicada 20 años antes de su puesta a disposición en la hemeroteca digital del diario, ya tenía el camino marcado por el TJUE (y por sus propios antecedentes en SSTS.1917/2016, 1618/2016 y 210/2016) y así, una vez constatadas la carencia de relevancia pública de los demandantes, la ausencia de interés histórico en la información y el considerable tiempo trascurrido desde su inicial divulgación, estimó la pretensión de desindexación en buscadores generalistas al valorar ese tratamiento desproporcionado, estigmatizador y contrario a la finalidad de reinserción.

El litigio llegó al TC porque los interesados pretendieron, además, que sus datos personales fueran desindexados también del buscador interno del diario y que se suprimiesen o anonimizasen en el código fuente de la web, lo que fue desestimado por el TS al considerarlo un sacrificio desproporcionado de la libertad de información (“censura retrospectiva”), por su mínimo efecto multiplicador en relación con los buscadores generales y en vista de la jurisprudencia del TEDH protectora de la integridad de las hemerotecas digitales.

Circunscrito el recurso de amparo a ese concreto y limitado aspecto, la STC.58/2018, de 4 de junio, resuelve el conflicto con la libertad informativa otorgando prevalencia al primero, obligando a desindexar los datos personales “para su uso por el motor de búsqueda interno de El País”, que “debe ser considerada una medida limitativa de la libertad de información idónea, necesaria y proporcionada”. Por el contrario, el TC rechaza la pretensión de supresión o anonimización de datos personales del código fuente de la web por estimarla innecesaria y limitativa de la libertad de prensa.

Es cierto que la STC. 58/2018 aplica la doctrina sentada por el TEDH para esta clase de conflictos, basada en los criterios de veracidad de la información, relevancia pública de los hechos (en el sentido de noticiables), el efecto multiplicador de las hemerotecas digitales sobre la afección en los derechos de la personalidad y la incidencia del tiempo (desactualización de la noticia).

Pero el TC añade una consideración novedosa, al diferenciar dos finalidades de las hemerotecas digitales: “Por un lado, la de garante de la pluralidad informativa que sustenta la construcción de sociedades democráticas, y, por otro, la de crear archivos a partir de informaciones publicadas previamente, que resulta sumamente útil para la investigación histórica… si bien ambas desempeñan una función notable en la formación de la opinión pública libre, no merecen un nivel de protección equivalente al amparo de la protección de las libertades informativas, por cuanto una de las funciones es principal y la otra secundaria”. La función principal “va dirigida a garantizar la formación de una opinión pública plural, no a satisfacer la curiosidad individual y focalizada”. De modo que el TC encuentra mayor justificación en sacrificar la libertad de información en favor de los derechos previstos en el art.18.1 y 4 CE cuando se trata de noticias que tengan un mero interés histórico, estadístico o científico, que en los casos de noticias con un interés informativo actual.

Dejando a un lado este interesante e inédito punto de vista, lo cierto es que la obligación de desindexar, incluso respecto de los buscadores internos de los diarios, no se compadece bien con un importante aspecto de la libertad de información, y potencial riesgo para ésta como es la “autocensura”, riesgo sobre el que ha alertado la STEDH de 28 de junio de 2018, Caso M.L. et W.W. vs. Alemania, al resolver sobre un supuesto de denegación del derecho al olvido ejercitado por los protagonistas de varias noticias relativas a graves delitos estando próximo el cumplimiento de las penas por sus autores.

El TEDH pone de manifiesto “el riesgo de que se produzca un efecto disuasorio sobre la libertad de expresión de la prensa…, en particular el riesgo de que los medios de comunicación, por falta de personal suficiente y de tiempo para examinar dichas solicitudes, ya no se vean obligados a incluir en sus informaciones elementos que puedan llegar a ser ilegales posteriormente”. Advierte que las solicitudes de supresión podrían entrañar “el riesgo de que la prensa se abstuviera de conservar las informaciones en sus archivos en línea u omitiera elementos individualizados en las informaciones…”.

Las anteriores consideraciones parecen muy pertinentes en relación con la obligación de desindexar los datos personales de las noticias también respecto de los buscadores internos de los diarios, pretensiones que, de ejercitarse masivamente, y en caso de falta de medios para atenderlas, podrían conducir a que aquellos optasen por no mantener las hemerotecas digitales, o lo que sería más grave aún, optasen por no incluir datos personales en sus informaciones, supuesto de “autocensura” poco razonable.

Aunque se admitiese la tesis del TC de que la funcionalidad de mera investigación histórica que cumplen secundariamente las hemerotecas digitales no merece el mismo nivel de protección constitucional que la de formación de una opinión pública libre (libertad de información), el art.17.3 del RGPD es taxativo al prescribir que el derecho al olvido “no se aplicará” cuando el tratamiento sea necesario con fines de investigación científica o histórica “en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento…”, y no parece dudoso que la desindexación en buscadores generalistas y en buscadores internos de los diarios “obstaculiza gravemente” ese tratamiento con fines de archivo e investigación.

En todo caso, la conciliación del derecho a la protección de los datos personales con el derecho a la libertad de expresión y de información, es uno de los pocos mandatos de regulación que el RGPD (art.85.1) dirige a los Estados miembros, que deberá efectuarse mediante norma con rango de Ley, estableciendo exenciones o excepciones al derecho al olvido (art.85.2).

Pese a lo anterior, sorprendentemente, el proyecto de Ley de Orgánica de Protección de Datos de Carácter Personal actualmente en trámite (texto publicado en el BOCG de 24 de noviembre de 2017), no contempla regulación alguna al respecto, como ya sucediera por cierto con la Ley Orgánica actualmente vigente, omisión que habrá de ser subsanada durante su tramitación parlamentaria con objeto de no incumplir el claro mandato del RGPD.

Javier Núñez Seoane. Abogado

PROLEY ABOGADOS.

Socio ENATIC

@abotgado_es