Sara Kurfeß (vía Unsplash)

El valor de nuestro patrimonio digital

/1 Comentario/en /por

¿Cuánto valen los expedientes de los pacientes, nuestras fotografías personales, videos, grabaciones, notas, tareas, calendarios, apuntes, tesis, informes, investigaciones, correos electrónicos, datos o contabilidades de nuestros clientes, y toda esa información valiosa que hemos acumulado por años?

Y muy importante ¿qué se hace del soporte informático que está depositado en custodia en notarias y juzgados?

Esta última, era una de las preguntas que formule a uno de los oficiales durante mi intervención en una de las notarias en las que trabajo como perito informático.

Cuando acudimos a realizar una clonación de un disco, extracción de datos de dispositivos móviles o a levantar el acta de una web, siempre dejamos una copia en custodia hasta el día de la vista, esta copia u original en depósito debería ser debidamente eliminada la información siguiendo un protocolo de borrado o destrucción de datos dado los datos sensibles y confidenciales que contienen.

¿DONDE ALMACENAMOS LOS DATOS?

Ordenadores, Teléfonos, Tablet, Discos Externos, Impresoras, Pendrive, Vehículos….

¿ES VALIOSA LA INFORMACIÓN PARA EL CIBERDELINCUENTE?

En estos dispositivos buscan información, como contactos, agendas, correos electrónicos para enviar spam, fotografías, números de cuenta, datos financieros y de clientes para elaborar una suplantación de identidad.

La suplantación de identidad consiste en el uso de información personal para hacerse pasar por otra persona con el fin de obtener un beneficio propio.  

¿A DONDE VAN NUESTROS DATOS PERSONALES? 

VERTEDEROS TECNOLOGICOS Y PUNTOS LIMPIOS

SERVICIO TECNICO (sustitución, reparación o recuperación de datos)

OTRO USUARIO, DONACION O REGALO

¿QUE ES “DATO PERSONAL” SEGÚN EL RGPD?

«Dato personal” se define como “Toda información sobre una persona física identificada o identificable”. Es un concepto que va mucho más allá de la definición tradicional de información de identificación personal, ya que este incluye el nombre, dirección de correo electrónico, posts en medios sociales, información física, fisiológica o genética, datos médicos, ubicación, geolocalización, detalles bancarios, dirección IP, cookies e identidad cultural de la persona en cuestión.

Uno de los requisitos clave de la RGPD de la UE es que la información personal esté cifrada. Donde quiera que se utilice el cifrado como medida técnica, la información debe poder ser restaurada rápidamente después de una incidencia y los archivos deben guardarse para probar que los sistemas son seguros y recuperables.

CONSEJOS

  • BORRAR O DESTRUIR NUESTROS DATOS DE MANERA SEGURA.
  • SOLICITAR CERTIFICADOS DE BORRADO Y DESTRUCCION INCLUSO DE SERVICIOS EN LA NUBE.
  • CONFIGURAR EL BORRADO REMOTO EN LOS DISPOSITIVOS MÓVILES
  • NO REGALAR, NI VENDER, NI TIRAR, MOVILES, PORTATILES, NI DISPOSITIVOS CON INFORMACION QUE PUEDA PONER EN PELIGRO NUESTRA PRIVACIDAD.
  • REALIZAR COPIAS DE SEGURIDAD EXTERNAS CIFRADAS.

 

David del Olmo.

Périto Informático Forense.

Master en informática forense y delitos informáticos.

Miembro de Enatic.

DocuSign (via Unsplash)

¿Y si no acepto la política de privacidad?

/0 Comentarios/en /por

Poco antes del 25 de mayo de 2018, la bandeja de entrada de nuestro email se llenaba de mensajes solicitándonos renovar el consentimiento para adaptarlo a la nueva política de protección de datos. Es un hecho que muchos de esos mensajes ni siquiera han sido abiertos. ¿Qué va a pasar ahora con los datos de todos esos clientes que no han renovado el consentimiento?

Es muy habitual dejarlo todo para el final, y la protección de datos no iba a ser una excepción. El Reglamento General de Protección de Datos (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE; en adelante RGPD), entró en vigor el 25 de mayo de 2018, y lo hizo con una “vacatio legis” de dos años, precisamente porque, dada la complejidad de la norma, se entendió desde el legislador comunitario que era necesario un periodo de adaptación.

El pasado 25 de mayo de 2018, fecha en que el RGPD comenzó a ser plenamente aplicable en todos los Estados de la Unión, fuimos sometidos a un bombardeo sin precedentes, especialmente a través del email, en el cual las empresas nos instaban a renovar nuestro consentimiento para seguir tratando nuestros datos de carácter personal.

Como ciudadanos, hemos reparado en que nuestros datos constaban en los registros de muchas empresas, de las cuales ni siquiera éramos conscientes de su existencia y, en la mayoría de los casos hemos aprovechado la ocasión para dejar de recibir sus comunicaciones, simplemente dejando de aceptar su solicitud.

¿Pero es necesario el consentimiento de los interesados para tratar sus datos de carácter personal?

El RGPD nos habla de legitimación para el tratamiento de datos (principalmente en su art. 6, utilizando el término “licitud”), reconociendo el consentimiento como una de las condiciones para poder tratar datos de carácter personal, pero no la única.

Así, el responsable podrá tratar los datos para fines legítimos siempre que sea necesario para la ejecución de un contrato en el que el interesado sea parte, cuando el tratamiento sea necesario para cumplir con una obligación legal del responsable, cuando sea necesario para proteger los intereses vitales del interesado o de otra persona física; cuando el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; o el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

En caso de encontrarnos fuera de cualquiera de estos supuestos, los datos únicamente podrán ser tratados con el consentimiento del interesado.

Pero no todo el consentimiento es válido, el RGPD impone en su considerando 32, que el consentimiento “debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen”, no se admite, por tanto el silencio, las casillas ya marcadas o la inacción. Además, el consentimiento ha de darse para cada uno de los fines del tratamiento.

Si antes del 25 de mayo de 2018 ya contábamos con el consentimiento del interesado y el mismo había sido prestado con estas características, no es necesario volver a solicitarlo, lo mismo sucede si el tratamiento puede ampararse en alguno de los otros supuestos de licitud.

Es un hecho que muchas empresas se han prestado a solicitar consentimientos que ya tenían (sin duda mal asesoradas) y han perdido con ello gran parte de su base de datos, con todos los perjuicios que ello conlleva.

Debemos distinguir en todo momento el deber de informar de la necesidad de obtener el consentimiento.

Así, el considerando 60 del RGPD  exige que, para cumplir con los principios de transparencia y lealtad, se informe al interesado de la existencia de cualquier tratamiento y sus fines. Debemos informar a los interesados sobre el uso que estamos dando a sus datos, pero como ya hemos visto, muchas veces no necesitaremos su autorización para tratar los mismos.

Y esta distinción puede suponer una gran diferencia a nivel operativo.

La Agencia Española de Protección de Datos (AEPD), junto con las Autoridades Vasca y Catalana, han desarrollado una “Guía para el cumplimiento del deber de informar” cuya finalidad principal es “orientar acerca de las mejores prácticas para dar cumplimiento a la obligación de informar a los interesados, en virtud del principio de transparencia, acerca de las circunstancias y condiciones del tratamiento de datos a efectuar, así como de los derechos que les asistenhttps://www.aepd.es/media/guias/guia-modelo-clausula-informativa.pdf

¿Qué pasa entonces si el interesado no consiente?

Puede ser que el titular de los datos no haya abierto el email, no lo haya entendido, o simplemente no haya querido realizar la acción positiva de aceptar. Da igual el motivo, pues en principio tenemos que considerar que el consentimiento no ha sido otorgado.

A partir de aquí va a depender de si ese consentimiento era imprescindible o podemos reconducir la legitimación para el tratamiento a alguna otra fuente de las contenidas en el art. 6 del Reglamento General de Protección de Datos.

Si no existe otra base legítima, el consentimiento se hace obligatorio y por tanto, si no lo tenemos, no podemos seguir tratando esos datos.

Se hace necesaria entonces su supresión, pues tal y como dispone el art. 17 del RGPD: los datos han de ser suprimidos cuando retire el interesado retire el consentimiento. Podemos entender que el consentimiento con los requisitos del RGPD nunca ha sido otorgado y, por tanto, la permanencia de esos datos en poder del responsable no sería lícita.

Sí debemos mantener los datos cuando los mismos sean necesarios para el ejercicio del derecho a la libertad de expresión o información, para cumplir con una obligación legal derivada del derecho de la Unión; o para el cumplimiento de una misión realizada en interés público o en ejercicio de los poderes públicos; por razón de interés público en el ámbito de la salud; con fines de archivo, de investigación científica o histórica o fines estadísticos; o para el ejercicio de reclamaciones.

Por lo tanto, y a modo de conclusión, hemos de determinar en primer lugar, si existe o no necesidad de solicitar de nuevo el consentimiento, bien porque ya lo tuviéramos anteriormente con los requisitos que marca el RGPD, bien porque el tratamiento sea lícito de acuerdo a otra base de legitimación.

En caso de ser necesaria esa solicitud de consentimiento, si no ha sido otorgado correctamente, el responsable tendrá que abstenerse de hacer uso de los datos y proceder sin demora a su supresión, salvo que deba conservarlos en virtud de lo dispuesto en el  art. 17.3 del RGPD.

Marian Rojo Setién

Responsable del Área de Protección de Datos de Letradox Abogados

www.letradox.com

Asociada de ENATIC

6 pasos para sobrevivir al RGPD si eres autónomo o microempresa

/1 Comentario/en /por

Seguramente que durante el mes de mayo hayas sufrido una auténtica avalancha de correos pidiéndote el consentimiento para tratar tus datos personales o informándote      de cambios en la política de privacidad de la empresa de turno. Lo más probable es     que, harto de recibir correos parecidos o de que cada vez que entraras en una web se abriese un mensaje haciendo referencia a la nueva regulación de la protección de datos, hayas acabado borrando los correos sin siquiera leerlos. Por unos días, la cosa parecía habérsenos ido de las manos. El lado positivo de este fenómeno puede que haya sido  que nos haya empezado a preocupar esto de la privacidad y la protección de nuestros datos personales.

Ahora ha pasado el chaparrón (Más bien el diluvio universal) y ya es de aplicación el Reglamento General de protección de Datos (Entró en vigor en el mes de mayo de 2016, por más que muchos, en sus correos, se empeñasen convencernos de que entraba en vigor el 25 de mayo de este año). Hemos sobrevivido al anunciado Apocalípsis y es el momento de reflexionar y no pasar página como si este asunto solo fuese con las grandes empresas o se tratase de una moda pasajera. Puede que no llegases a tiempo a tener tus cosas en orden antes de esa fecha, cosa comprensible si eres una microempresa o un autónomo, teniendo en cuenta que ni nuestro Legislador aún no ha logrado redactar el texto definitivo de una ley que desarrolle el RGPD en España. Si ese es tu caso, habrá que ponerse manos a la obra para cumplir.

Los datos personales son un activo importante para cualquier empresa. Pero su tratamiento tiene una repercusión y genera unos riesgos para los titulares de tales datos hasta el punto de que el acceso ilegítimo a los mismos, en los casos más graves, puede incluso ser constitutivo delito. Por ello, su control por parte de los interesados y su protección por parte de quien los trata, son cada vez más importantes y necesarios.

Voy a tratar de marcar un punto de partida para que un autónomo o una microempresa pueda dibujar un mapa mental que le ayude a hacer sus deberes en esto del cumplimiento en materia de protección de datos, sin obviar la complejidad técnica que ello conlleva y que hace imposible tratar más en profundidad el tema en este artículo.

Más del 80% del tejido empresarial en España son microempresas (De 1 a 9 trabajadores) y autónomos. Este sector es el que más dificultad está teniendo para adaptarse a la  nueva legislación y sin embargo, no podemos obviar el hecho de que está tratando una importante cantidad de datos en su conjunto. Este hecho es preocupante porque, como ciudadanos, todos somos cada vez más conscientes de nuestros derechos, nos importa nuestra privacidad, empezamos a interesarnos por lo que se hace con nuestros datos y a exigir que se garanticen nuestros derechos.

Lo primero que debemos hacer es cambiar nuestra mentalidad, porque el nuevo reglamento pretende crear una cultura de cumplimiento y ya no valdrá con adoptar  unas cuantas medidas que la ley nos marca, tener inscritos unos ficheros y contar con unos cuantos formularios para cubrirnos las espaladas frente a una posible reclamación. Seremos nosotros, los responsables del tratamiento, quienes tendremos que estudiar nuestra empresa, definir y diseñar las actividades que suponen un tratamiento de datos personales, analizar los riesgos, implementar las medidas que consideremos necesarias para garantizar la seguridad de los datos y el ejercicio de los derechos de los interesados, comprobar que funcionan y evaluar periódicamente que todo va bien.

Probablemente hayas consultado en Google la información  publicada  por  la  AEPD  para orientarnos en la adaptación al RGPD, foros profesionales o blogs de expertos y puede que hasta hayas acabado teniendo más dudas que al principio de tu búsqueda. El RGPD, también conocido como GDPR, por sus siglas en inglés (General Datta Protection Regulation), es una norma extensa y compleja, no nos vamos a engañar, por lo que puede que aún te estés preguntando por dónde empezar.

Vamos a tratar de ir al grano y, pensando en una empresa pequeña, recorreremos el camino  para cumplir con la GDPR en seis pasos fundamentales.

1.- DEFINIR Y DISEÑAR LOS TRATAMIENTOS

 ¿Y esto, qué es? Hay que empezar por echar un vistazo a nuestra actividad e identificar los tratamientos de datos personales que llevamos o pretendemos llevar a cabo. Si teníamos inscritos previamente ficheros en la AEPD, revisarlos puede ser un buen punto de partida.

¿Qué es dato personal?: “Toda la información sobre una persona física identificada o identificable” (art. 4.1 GDPR). Por tanto pueden ser datos personales el nombre, el domicilio, el número de teléfono, una dirección IP, la fotografía de una persona, su número de cuenta bancaria, etc. Mucho cuidado con el término identificable, porque son muchos los datos que pueden hacer identificable a una persona, y más si se relacionan con otros.

El artículo 25 de la RGDP obliga a que la privacidad se garantice desde el diseño (privacy by desing) y por defecto. Todo tratamiento, desde la recogida de los datos, hasta su destrucción, pasando por sus diversos tratamientos y la implantación de medidas técnicas,

jurídicas y administrativas, debe concebirse, a la luz de los principios del tratamiento que se indican en el artículo 5 de la norma: Licitud, lealtad y transparencia, limitación de   la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad.

Esto significa que tendremos que plantearnos cómo obtenemos los datos, cómo y dónde los clasificamos y almacenamos, el uso que hacemos de ellos, si los cedemos a terceros o los trasferimos fuera de la UE y cómo y cuándo los destruimos.

Es importante dedicar tiempo al primer paso porque podemos olvidar alguna actividad  que suponga el tratamiento de datos personales y ese despiste puede tener graves consecuencias para los interesados y para nosotros.

2.-REGISTRO DE ACTIVIDADES DE TRATAMIENTO

Ya sabemos los tratamientos de datos personales que hace nuestra empresa. Ahora tenemos que confeccionar un registro de actividades de tratamiento. Se trata de un documento que puede tener el formato que se prefiera y en el que se deberá registrar cada una de las actividades de tratamiento que se llevan a cabo. Como ejemplo, se  podría hacer una clasificación de los tratamientos de datos por categorías: Clientes, proveedores, trabajadores, colaboradores y gestión comercial.

Para los tratamientos de cada categoría debemos determinar su finalidad, indicar la base jurídica o legitimación para llevar a cabo el tratamiento y determinar las categorías de afectados.

Este registro no es un documento que podamos dejar guardado y olvidado en una carpeta. Es un documento que debe permanecer vivo y actualizado con cada cambio que sufran los tratamientos que haga la empresa.

Es muy importante, llegados a este punto, comprobar si tratamos datos de lo que la RGPD denomina categorías especiales, ya que estos datos deberemos protegerlos casi con nuestra vida. Estos datos serán los que revelen origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud, datos relativos a la vida y orientación sexuales, derivados de actos de violencia de género y sobre infracciones y condenas penales.

El tratamiento de este tipo de datos nos obligará a extremar las medidas de protección, condicionará en gran medida la base legal   que nos faculta para su tratamiento y,  en      la mayoría de los casos, nos obligará a llevar a cabo una evaluación de impacto para calibrar las consecuencias que tendría cualquier incidencia  referida a ellos. Además, si   la base legal para el tratamiento de estos datos es el consentimiento, debe recabarse de forma específica para cada una de estas categorías.

No obstante, a pesar de tratar este tipo de datos, podemos llegar a la conclusión de no que no hay un riesgo importante y no necesitamos hacer esta evaluación. En tal caso debemos redactar un informe indicando porqué llegamos a esta conclusión y justificar no llevarla a cabo.

Es posible que a estas alturas del artículo haya empezado a hacérsete bola esto de la protección de datos. Tranquilo, el primer paso siempre cuesta pero una vez dado, tenemos que ir por los demás.

3.- ANÁLISIS DE RIESGOS

Es hora de identificar las amenazas que pueden poner en peligro la confidencialidad, la integridad y la disponibilidad de los datos que tratamos. Debe evitarse cualquier acceso a datos personales por parte de persona no autorizada. Debe garantizarse que los datos que tratamos permanecen completos e inmutables. Además, debemos tener siempre disponibles los datos que tratamos porque el interesado puede solicitarnos acceso a los mismos y además pedirnos copia documental de ellos.

Una amenaza puede ser, desde la pérdida de los datos a causa de un borrado o modificación accidental, a un acceso no autorizado de un empleado o de alguien de fuera de la empresa, pasando por la propia pérdida por extravío de un móvil o un ordenador portátil.

Identificadas las amenazas tendremos que valorar la probabilidad de que ocurra un incidente. Habrá amenazas que sea poco probable que se materialicen y otras cuya probabilidad de que nos afecten sea mayor. La probabilidad podemos clasificarla en máxima, significativa, limitada o despreciable. Las medidas de seguridad que adoptemos dependerán de este análisis. Aquí debemos tener de nuevo en cuenta si estamos tratando datos personales de categorías especiales.

Si nos hemos tomado el tiempo necesario para identificar los tratamientos que llevamos a cabo, nos será más fácil identificar las amenazas y valorar el riesgo de que produzca una incidencia.

Si teníamos un documento se seguridad, tendremos que revisarlo puesto que ahora ya  no hablamos de niveles de seguridad ni de medidas concretas que la Ley nos obliga a adoptar. La nueva regulación nos considera mayores y responsables y nos encarga elegir los protocolos de actuación y las medidas que consideremos adecuadas y suficientes para garantizar los derechos de los interesados y poder probar que lo hacemos (Ahí es nada la cosa).

Evaluados los riesgos, podemos ponernos manos a la obra con el diseño e implantación de las medidas organizativas y de seguridad que resulten necesarias.

Las medidas pueden ser muy diversas y dependerán de la estructura y funcionamiento de cada empresa o negocio pero algunas pueden ser válidas para la mayoría. Por aquello de que para muestra basta un botón, vamos a indicar algunas de ellas:

Protocolos para recabar el consentimiento de los interesados, cuando sea esta la base legal para el tratamiento. La GDPR entiende por consentimiento “la voluntad libre, específica informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. (El origen del diluvio de correos que hemos recibido los días previos al 25 de mayo pidiendo nuestro consentimiento). Esto conlleva examinar cómo recabamos en el pasado el consentimiento para valorar si es necesario, o no, volver a solicitarlo en la forma que ahora se exige y hacer la correspondiente criba. Por favor, no sigas tratando datos cuyos interesados no te hayan dado su consentimiento según exige la GDPR.

Habrá que revisar nuestros contratos, los boletines de contacto y suscripción de nuestra web o blog y cualquier otro punto de recogida de datos personales para conseguir que    el consentimiento no ofrezca duda y que los interesados estén correcta y completamente informados de la necesidad, finalidad y temporalidad del tratamiento así como de quien es el responsable del mismo.

Seguramente necesitarás la ayuda de profesionales en la implantación de este tipo de medidas, un jurista especialista en la materia y un informático que haga los cambios correspondientes en tu web.

Si tienes tu web en Word Press, hay varios plugins para adaptar su web a la GDPR que pueden ser de utilidad: GDPR, WP GDPR Compliance, GDPR V Check, etc. En cualquier caso, los textos nunca deben aplicarse a nuestro caso sin estudiarlos previamente y comprobar que se adaptan a los tratamientos que hemos diseñado en nuestra empresa o negocio. El prêt-à-porter en cumplimiento de la GDPR no sirve y compensa invertir en un trabajo profesional que nos evitará multas y reclamaciones de perjudicados.

– Control de acceso del personal a archivos y dispositivos que contienen archivos con datos personales, adjudicación de contraseñas, huella digital en teléfonos móviles, etc.

  • Pseudonimizar y cifrar los datos en nuestros equipos (cifrado de disco duro o carpetas correspondientes, cifrado de memorias de almacenamiento externo, cifrado de correo…). El sistema Windows 10, no incorpora la opción de cifrado en todas sus versiones, sólo  en Enterprise y Pro, por lo que antes de elegir un equipo o un software debemos tener en cuenta estos aspectos. Si tenemos equipos que no lo incorporan, necesitaremos software externo que nos permita el cifrado.

El cifrado será también necesario en nuestra web, que requerirá de un certificado SSL para que los datos que se recojan a través de boletines de contacto o suscripción, por ejemplo, circulen cifrados y de forma segura. La mayor parte de los hosting ofrecen certificados SSL muy económicos o gratuitos. Let´s Scrypt ofrece también de forma gratuita este certificado.

  • Realizar un inventario de los soportes (Memorias externas, portátiles, smartphones…) o documentos físicos (que aún los hay) que contienen datos personales, e implantar medidas que garanticen el traslado seguro de los mismos, sin olvidar que también debemos llevar a cabo su borrado de forma segura. Para dispositivos electrónicos hay herramientas como Eraser o Hardwipe que pueden sernos de utilidad. Activar un sistema de borrado remoto para teléfonos móviles también nos ayudará a preservar los datos almacenados en caso de pérdida o sustracción de los mismos. No olvidemos borrar periódicamente los archivos que contienen datos personales almacenados en las aplicaciones de escaneo de los teléfonos móviles.
  • Cada vez es más frecuente trabajar fuera de las instalaciones de la empresa, en tales casos debe hacerse uso de una VPN.
  • Dado que la GDPR otorga a los interesados el derecho a solicitarnos copia documental de los datos que estamos tratando, se hace imprescindible contar con copias de seguridad de los archivos que contienen datos personales. Lo más recomendable es tener copia en una memoria de almacenamiento externa y en cloud.
  • Teniendo en cuenta que solemos recoger, almacenar, tratar o destruir datos personales por medios tecnológicos, tendremos que adoptar medidas de seguridad informática. Si no estamos muy duchos en el tema, nos tocará contratar los servicios de un profesional pero no podemos ver este gasto como un coste sino como una inversión rentable.

Contar con un antivirus, un firewall correctamente parametrizado, unas normas sobre uso de dispositivos electrónicos en la empresa o una configuración adecuada de las cuentas de usuario en redes sociales o aplicaciones, entre otras, son medidas básicas que tenderemos que adoptar si no lo hemos hecho hasta ahora.

En ese documento deberíamos prever un plan de actuación en caso de producirse una brecha de seguridad a fin de minimizar el impacto de la incidencia. Además el RGPD nos obliga a comunicar a comunicar a la AEPD dicha brecha “cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas” y tenemos 72 horas para hacerlo.

Todos los protocolos y medidas que implantemos en la empresa debemos recogerlos en un documento. Pero, sobre todo, las medidas deben ponerse en práctica y no relajarnos una vez llegados a este punto.

4.- FIRMAR CONTRATOS DE CONFIDENCIALIDAD CON PROVEEDORES Y COLABORADORES

También estamos obligados a garantizar que quienes trabajan con nosotros y tienen de algún modo acceso a datos que tratamos, cumplan con la normativa de protección de datos. Para ello deberemos exigirles que adopten las medidas adecuadas para garantizar los derechos de los interesados mediante contratos o pactos de confidencialidad que firmemos con ellos.

Ejemplos: La asesoría que confecciona las nóminas de nuestros empleados, el compañero con el que colaboramos en un proyecto o la empresa encargada del mantenimiento de nuestros sistemas informáticos.

5.- FORMAR AL PERSONAL DE LA EMPRESA

De nada sirve llegar hasta aquí si no se da la adecuada formación al personal de la empresa. Los trabajadores deben adquirir esa cultura de cumplimiento de la que hablábamos al principio y conocer las medidas implantadas. Muchos de ellos serán encargados del tratamiento, por lo que si no afianzamos este eslabón, la cadena puede romperse en cualquier momento. No solo se les debe explicar la política de la empresa a este respecto y sus concretas obligaciones, sino que se les debe facilitar esta información de la forma más gráfica y sencilla posible para que no se les haga bola.

6.- LLEVAR A CABO EVALUACIONES PERIÓDICAS

El modelo de cumplimiento que adoptemos no es algo estático. No solo debe ir adaptándose a la transformación de nuestro negocio, sino que debe revisarse periódicamente para comprobar que funciona y, en su caso, modificar lo que sea necesario.

Es la consecuencia de esa responsabilidad que la normativa nos ha atribuido. Debemos cumplir y poder probar que lo hacemos, y ello requiere una constante revisión de nuestras medidas y procesos.

Como dije al principio, son muchos los aspectos que quedan fuera de este breve análisis. La figura del DPO o la evaluación de impacto, son parte de la regulación que me dejo en el tintero. Este artículo solo pretende orientar a autónomos y microempresas para llevar   a cabo su adaptación a la nueva normativa y, en su mayor parte no estarán obligados a contar con un DPO ni a llevar a cabo la evaluación de impacto, aunque habrá quien si lo requiera. Hay despachos de abogados cuya principal actividad de tratamiento se refiere   a datos personales relacionados con delitos o condenas. Atendiendo a la literalidad de la norma, necesitarían un DPO. En mi opinión, esta obligación para un despacho penalista unipersonal, supondría un coste probablemente difícil de asumir. Quizás la única opción que tenga el profesional sea poder acreditar ante la AEPD que él mismo tiene los conocimientos técnicos y la capacidad para actuar como DPO, lo que, en cualquier caso, le exigirá un trabajo y esfuerzo extraordinario.

Ya solo nos queda hacer el camino pensando que no sólo estamos protegiendo datos, sino derechos de personas que merecen como mínimo, el respeto que la GDPR les otorga.

María Inmaculada López González
BUFETE LÓPEZ GONZÁLEZ
Asociada de ENATIC

Clint Patterson (via Unsplash)

La controvertida naturaleza del documento electrónico

/0 Comentarios/en /por

En cuanto a la noción de documento, lo único que se produce con la aparición de la realidad digital es una ampliación en la variedad de soportes y, con ello, de formatos, capaces de albergar no sólo datos fidedignos o susceptibles de ser empleados como tales para probar algo en forma escrita, sino también en forma vista o hablada, innovación hasta el momento desconocida. Esta razón es la que justifica lo que podríamos denominar teoría del documento como contenido, que amplia la noción de documento, partiendo de la palabra escrita y extendiéndola a la imagen y al sonido, que, ahora sí, pueden quedar archivados para su posterior utilización como medio de prueba en un proceso judicial. Todo ello en una propuesta de definición que reproducimos: soporte en papel u otro formato adecuado que contiene letras o signos que proporcionan información, escrita, vista o hablada, fidedigna o relevante sobre hechos con eficacia probatoria o cualquier otro tipo de utilidad jurídica. Lo importante, por tanto, no es el formato en que conste el documento, sino que sea apto para erigirse en medio de prueba en juicio, capaz de acompañarse, a su vez, de otros tantos medios, como la firma electrónica, que aporten seguridad adicional en cuanto a la identificación del autor y a la integridad de su contenido.

En materia contractual, la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE), introduce un elemento de conflicto normativo en su confrontación con la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil (LECiv). En efecto, el artículo 24.1.1º LSSICE dispone que la prueba de la celebración de un contrato por vía electrónica (modalidad, como sabemos, de documento electrónico) y de las obligaciones que tienen en él su origen se sujetará a las reglas generales del ordenamiento jurídico. No obstante, y he aquí el problema, añade un apartado segundo, en el que afirma que «[e]n todo caso, el soporte electrónico en que conste un contrato celebrado por vía electrónica será admisible en juicio como prueba documental». De este modo, nos encontramos con un artículo, el 299.2 LECiv, que sostiene que el documento electrónico será admisible en juicio según las reglas de la sana crítica (artículos 382 a 384 LECiv), y con otro, el artículo 24.2 LSSICE, que afirma que una de las manifestaciones de este documento electrónico, cual es el contrato electrónico, será también admisible en juicio, pero no como medio de prueba sujeto a las reglas de la sana crítica, sino como prueba plena derivada de su consideración como medio de prueba documental (artículos 299.1.3º y 326.2 LECiv). Por su parte, aquellos contratos electrónicos firmados electrónicamente estarán sujetos a lo dispuesto en el artículo 3 Ley 59/2003, de 19 de diciembre, de firma electrónica -LFE- (artículo 24.1.2º LFE), concretamente a lo establecido en los apartados 8 y siguientes de dicho precepto tercero, en el que se llega a la misma conclusión, al establecer que el soporte en que se hallen los datos firmados electrónicamente será admisible en juicio como prueba documental, si bien establece una distinta graduación dependiendo del tipo de firma electrónica. Para resolver esta antinomia es preciso acudir al así calificado por la jurisprudencia como principio general del Derecho de especialidad normativa conocido como lex specialis derogat lei generali, que dispone que la ley especial prevalece siempre sobre la ley general, de modo que, en este caso, la LSSICE y la LFE habrá de prevalecer sobre la LECiv y, en consecuencia, el contrato electrónico específicamente (no, bien es cierto, el documento electrónico en general) habrá de tener la consideración de prueba documental en juicio, ya esté, o no, firmado electrónicamente.

Es esta misma LFE la que hace constar, por primera vez en nuestro Derecho interno, una definición de documento electrónico, en consonancia con la teoría antes expuesta. En efecto, en su artículo 3.5, la LFE define el documento electrónico como «[…] la información de cualquier naturaleza en forma electrónica, archivada en un soporte electrónico según un formato determinado y susceptible de identificación y tratamiento diferenciado». En el soporte electrónico podrán ser archivados (artículo 3.6 LFE) tanto documentos electrónicos públicos como documentos privados. Estos documentos tendrán el valor y eficacia que corresponda a su respectiva naturaleza, de conformidad con la legislación que les resulte aplicable (artículo 3.7 LFE).

CONCLUSIONES

La conformación legal del documento, primero, y de su vertiente electrónica, más tarde, se ha conformado sobre una base terminológica errónea, hasta cierto punto lógica en nuestros primeros tiempos, cual es la identificación entre documento y escrito y entre escrito y soporte físico. Ello ha obstaculizado la apertura terminológica del concepto documento a modalidades en ese momento desconocidas pero en la actualidad tan importantes, como son aquellas propiciadas por el advenimiento de lo que en la actualidad conocemos como sociedad de la información, que ha cambiado profundamente las viejas estructuras jurídicas por medio de una adaptación del viejo sistema tradicional, primero, y de una creación de un nuevo Derecho para dar respuesta a las grandes incógnitas suscitadas por las nuevas tecnologías de la información y de la comunicación, después.

Es esta la razón que ha motivado la exclusión del documento electrónico como prueba documental en la LECiv, razón que deriva de antaño, de un momento en el que, por ser siempre físico y en papel, ni siquiera se imaginaba la recogida y conservación del documento en otros soportes, como el electrónico, capaces de albergar nuevos soportes y de satisfacer (y he aquí lo importante) fielmente los requisitos esenciales y las finalidades fundamentales que está llamado a desempeñar como elemento de conservación, integridad y prueba de, en lo que aquí nos interesa, los negocios comerciales llevados a cabo por las partes y plasmados en forma de contratos (electrónicos). Esta necesidad es la que ha permitido dotar a esta nueva realidad de una regulación que, hasta cierto punto contradictoria con aquella contenida en la LECiv, reconoce abiertamente la importancia del documento electrónico a efectos de prueba, determinando su papel como prueba documental en juicio. Este es el caos de la LSSICE y, cuando el contrato está dotado de firma, de la LFE.

Con ello, perseguimos poner de manifiesto la controversia existente respecto de esta cuestión y la necesidad de conformar un nuevo término jurídico de documento que, abierto a la nueva realidad virtual que cada vez se presenta con mayor fuerza, incluye una propuesta de lege ferenda. Esta propuesta perseguirá, al mismo tiempo, conseguir la tan anhelada coherencia normativa y evitar alejarse de la misión que el documento está llamado a cumplir en el Derecho procesal interno de nuestro país desde hace ya tanto tiempo. Sólo así podremos afrontar de manera satisfactoria los importantes retos que el futuro legal nos depara.

Juan Francisco Rodríguez Ayuso
Doctor internacional en Derecho digital por la Universidad de Bolonia (Italia), Consultor legal de Seguridad de la Información y Profesor de la Universidad Internacional de La Rioja.
Asociado de ENATIC.

¿Deben nuestros clientes designar a un Delegado de Protección de Datos?

/0 Comentarios/en /por

Con la entrada en vigor del nuevo Reglamento (UE) 2016/619 General de Protección de Datos (RGPD), ha tenido lugar la irrupción de una nueva figura que va a suponer la mayor garantía de cumplimiento de la nueva normativa: el Delegado de Protección de Datos (en lo sucesivo, por sus siglas en inglés, el “DPO”).

Sin embargo, existe un temor latente por parte de las compañías en torno a las consecuencias que esta nueva situación pueda acarrear, en base a que el DPO es percibido por éstas como un potencial acusador de los posibles incumplimientos a las autoridades de control en materia de protección de datos.

Pero, ¿existe realmente una base sobre la que se sostenga esta idea?

En el presente artículo se abordará el marco jurídico sobre el que actuará el DPO, para así entender las distintas implicaciones que realmente supondrá su actuación como mediador de las organizaciones con aquellos encargados del ineludible cumplimiento de la normativa.

Características y funciones del DPO

El DPO se constituye como un profesional con conocimientos especializados que participa de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales de las organizaciones.

El DPO no puede ser designado sin criterio alguno, se debe atender a sus aptitudes, cualificaciones profesionales y a su conocimiento especializado de la legislación y la materia en concreto. Sin embargo, una titulación previa no tiene por qué ser necesaria para ofrecer la función de DPO: la acreditación de una titulación en Derecho no garantiza tener las aptitudes requeridas para el puesto en cuestión.

Se permite que el DPO pueda formar parte de la plantilla de la organización siempre que goce de total independencia en sus funciones, o bien que sea un tercero (persona física o jurídica) quien desempeñe sus funciones dentro del marco de un contrato de servicios.

Las funciones principales de un DPO son:

  • Asesoramiento permanente: informar y asesorar a la organización, sus encargados y responsables del tratamiento y a sus empleados que se ocupen del tratamiento de datos sobre las obligaciones que les incumben en virtud del RGPD y las posibles novedades normativas.
  • Garantía de cumplimiento: supervisar el cumplimiento de lo dispuesto en el RGPD y de las políticas de la organización en materia de protección de datos personales, incluida la revisión de documentos, la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y la coordinación de las auditorias correspondientes.
  • Evaluaciones de impacto (EIPD): ofrecer el asesoramiento que se le solicite acerca de las evaluaciones de impacto relativa a la protección de datos que debe realizar la organización en concreto.
  • Violaciones de seguridad: supervisar el procedimiento de gestión de incidencias y la comunicación a la AEPD con menos de 72 horas las posibles violaciones de datos personales o brechas de seguridad
  • Contacto con los interesados: actuar como punto de contacto de los interesados ante cualquier modalidad de ejercicio de sus derechos.
  • Contacto con la Agencia Española de Protección de Datos: cooperar con la autoridad de control y actuar como intermediario de la misma para cuestiones relativas al tratamiento, incluidas la realización de consultas y la respuesta a solicitudes.

El DPO debe ejercer estas funciones respetando el deber de secreto y confidencialidad y prestando atención a los riesgos asociados a las operaciones de tratamiento.

La obligatoriedad de contar con un DPO en la organización

A la espera de una reforma en la Ley nacional que profundice en este aspecto, la normativa europea recoge una serie de supuestos en los que se establece la designación obligatoria de un DPO por parte de la empresa:

  • Cuando el tratamiento lo lleve a cabo una autoridad u organismo público.
  • Cuando las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática del interesado a gran escala.
  • Cuando estemos ante tratamiento a gran escala de categorías especiales de datos o de datos relativos a condenas penales.

Resulta necesario puntualizar ciertos términos para la comprender de forma efectiva cuando resulta necesaria la designación de un DPO. El Grupo de Trabajo del Art. 29 ha tratado de dar respuesta a algunas cuestiones:

¿Qué se considera por actividad principal? – Las operaciones clave necesarias para lograr los objetivos del responsable o del encargado del tratamiento.

¿Qué se considera por “gran escala”? – el Reglamento no ha establecido una cifra exacta para determinar el significado de “gran escala”, por lo que se deben tener en cuenta: el número de interesados afectados; el volumen de datos o la variedad de elementos de datos que son objeto de tratamiento; la duración, o permanencia de la actividad de tratamiento de datos; y el alcance geográfico de la actividad de tratamiento.

¿Qué entendemos por categorías especiales de datos personales? – aquellos datos que revelen de una persona física el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos, datos relativos a la vida sexual.

Adicionalmente, debemos tener en cuenta que cualquier organización que no esté obligada a disponer de un DPO en virtud del Reglamento, podrá voluntariamente designar uno que garantice la correcta aplicación de la normativa de protección de datos.

Pero, ¿por qué debe una empresa designar un DPO aun no siendo estrictamente obligatorio?

Nos encontramos ante un panorama donde los datos personales, con la llegada de distintas tecnologías disruptivas como el Big Data, están cobrando cada vez más relevancia en el seno de multitud de empresas que los utilizan como la base sobre la que desarrollar su estrategia, situándose su correcta interpretación como un factor competitivo diferencial. Sin duda, las empresas necesitarán cada vez más de una labor supervisora por parte de una persona experta en la materia que evite cualquier conducta que ponga en peligro la seguridad de los datos que hayan sido tratados y la correcta aplicación de la normativa.

En definitiva, para el cumplimiento de un contexto jurídico donde la proactividad se ha situado como la actitud a implementar de manera obligatoria, sin duda el DPO emerge como un elemento esencial para las entidades, especialmente para aquellas que realicen de manera habitual diferentes tratamientos de datos de carácter personal.

Laura Caballero Álvaro
Legal Counsel en Akela
@Akela_Asesores

El principio de transparencia y el deber de información en el RGPD

/1 Comentario/en /por

Con esta nota sobre el principio de transparencia y el derecho de información iniciamos este blog, que tiene por objetivo compartir y debatir sobre las nuevas (y viejas) obligaciones y derechos que introduce el RGPD. A partir de cada una de estas breves notas buscamos generar un entorno a partir del cual explorar las novedades del RGPD no sólo desde una perspectiva teórica sino también práctica.

Todas las opiniones y comentarios serán bienvenidos.

El principio de transparencia y el deber de información en el RGPD

¿Qué es el principio de transparencia?

El principio de transparencia no es nuevo en el ámbito de la protección de datos, sino que es un principio directamente ligado a los tradicionales principios de información, licitud y lealtad. El Grupo de Trabajo del Artículo 29[1], define al mencionado principio como: el requerimiento de que cualquier información y comunicación relacionadas con el procesamiento de datos personales sea de fácil acceso y de fácil entender, usando un lenguaje claro y sencillo. Refiriéndose, en particular, a la información sobre el responsable del tratamiento, los fines del tratamiento y la información necesaria para garantizar un trato justo hacia los interesados en los datos personales.

El RGPD introduce el principio de transparencia de forma expresa en el listado de principios de su art. 5 y, posteriormente, lo desarrolla en su art. 12. En este sentido, la transparencia es necesaria durante todo el ciclo de vida de los datos y durante todo el tratamiento de los mismos, desde la etapa de recopilación hasta la fase final, en donde los datos son eliminados. Es decir, el responsable del tratamiento tiene que comunicar al interesado sobre los cambios en los tratamientos de datos que realiza, las condiciones del tratamiento, o la existencia de alguna comunicación de datos, para garantizar que el interesado tenga pleno conocimiento del uso que se le brinda a los datos recopilados.

La transparencia está vinculada al principio de la accountability, por tanto, el responsable de tratamiento debe buscar el mecanismo idóneo para lograr que las personas sean informadas de forma efectiva de cómo van a ser tratados sus datos.

¿Cuáles son los requisitos de transparencia?

Como recuerda el Grupo de Trabajo del Artículo 29, el concepto de transparencia parte de una concepción user-centric más que de una legalista. Por tanto, toda actuación enmarcada en el cumplimiento de este principio debe pensarse desde la perspectiva de la “audiencia” a la que se dirige.

Los requisitos de transparencia que debe tener en cuenta el responsable del tratamiento se describen en el artículo 12 del RGPD. Se exige que la información cumpla con las siguientes reglas:

  • Debe ser concisa, transparente, inteligible y de fácil acceso.
  • Debe usarse un lenguaje claro y sencillo. Este requisito tiene una mayor importancia cuando la información deba ser proporcionada a niños.
  • La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos.
  • Cuando lo solicite el interesado, la información podrá ser facilitada verbalmente siempre que se demuestre la identidad del interesado por otros medios.

El Grupo de Trabajo del Artículo 29 entiende por “fácil acceso” que el acceso a la información por parte del interesado no debe implicar ninguna búsqueda o esfuerzo por parte de este. Debe ser evidente para los interesados donde pueden acceder a la información. Además, se recomienda que los párrafos y oraciones estén bien estructurados. Las oraciones deben estar formuladas en activo y no en pasivo y el exceso de sustantivos debe evitarse. La información proporcionada al interesado no debe contener un lenguaje o terminología excesivamente técnica o especializada.

La información se debe proporcionar sin que el interesado deba realizar aportación económica alguna. Cuando las solicitudes de los interesados sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o negarse a actuar respecto de la solicitud. El responsable del tratamiento es quien debe demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

¿Cómo debe cumplirse con el principio de transparencia?

El principio de transparencia requiere que cualquier información y comunicación relacionada con el tratamiento de los datos personales sea fácilmente accesible (en un lugar visible y directamente accesible) y fácil de entender, que se use un lenguaje claro y sencillo, sin ambigüedades. El Grupo de Trabajo del Artículo 29 señala que el responsable debe analizar cuál es su “audiencia” para adaptar el mensaje. Las personas deben poder conocer, por adelantado, el alcance y las consecuencias del tratamiento de sus datos.

En este sentido, cuando la información vaya dirigida a niños debe hacerse de forma que se comprenda que va dirigida a ellos: el vocabulario, estilo y tono deben ser los adecuados atendiendo a la edad de los menores.

El RGPD no prevé una forma específica de cómo prestar la información solicitada, pero el Grupo de Trabajo del Artículo 29, señala la importancia de que la notificación que contiene la información proporcionada cuente con un aviso de protección de datos o declaración de privacidad, y un resumen de las finalidades del tratamiento. Asimismo, es necesario que el responsable del tratamiento tenga en cuenta la modalidad y el formato apropiado para suministrar la información.

La obligación de ser transparentes durante todo el tratamiento puede conseguirse, por ejemplo, con un claro aviso de protección de datos accesible en la página web con la información relativa a los tratamientos de datos realizados para que en cualquier momento pueda ser consultada y con los mecanismos para ejercer los derechos, así como cualquier otra información útil al respecto.

Una de las manifestaciones del principio de transparencia que probablemente tendrán mayor impacto en un futuro cercano, habida cuenta de los avances que estamos experimentando en materia de inteligencia artificial, es el de la necesidad de hacer transparentes las decisiones basadas en tratamientos automatizados que pueden tener un efecto jurídico sobre los ciudadanos o vaya a afectarles significativamente.

Se encuentran reguladas en el artículo 22 del RGPD, estableciéndose como principio el derecho de la persona a no ser objeto de este tipo de decisiones, salvo cuando se cuente, por ejemplo, con el consentimiento explícito. En cualquiera de los supuestos,  las excepciones reguladas exigen el establecimiento de medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado. En este punto, la transparencia cobra especial importancia, ya no sólo en cuanto a dar a conocer la existencia de este tipo de tratamiento, sino por la necesidad de que las personas entiendan la importancia y las consecuencias que ese tratamiento va a tener para ellas. Así, se exige al responsable del tratamiento que informe de estas circunstancias, junto con la lógica aplicada, en el momento de la recogida de los datos, o con posterioridad si los datos no se recogen directamente del interesado.

¿Qué es el deber de información?

Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de operaciones de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales.

El RGPD establece que se debe facilitar a los interesados la información sobre el tratamiento de sus datos personales en el momento en que se obtengan de ellos o, si se obtienen de otra fuente como máximo en el plazo de un mes, Esta información dirigida al público o al interesado podrá facilitarse también  en forma electrónica.

Además, si los datos personales pueden ser comunicados legítimamente a otro destinatario, se debe informar al interesado en el momento en que se comunican al destinatario por primera vez. El responsable del tratamiento que proyecte tratar los datos para un fin que no sea aquel para el que se recogieron debe proporcionar al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y otra información necesaria.

En los arts. 13 y 14 del RGPD se contempla la información que debe facilitarse en la recogida de los datos, tanto si se recogen directamente del interesado como si se recogen por otros medios, de modo que el interesado sea capaz de determinar de antemano cuál es el alcance y las consecuencias que implica el tratamiento de datos.

El Grupo de Trabajo del Artículo 29 indica que las categorías de información que deben proporcionarse al interesado de los datos que son materia de tratamiento ya se encuentran enumeradas y resumidas dentro de la norma. Sin embargo, los responsables del tratamiento no solo deben proporcionar la información prescrita en los artículos 13 y 14, sino que también se debe explicar cuáles serán las consecuencias más importantes del tratamiento.

¿Qué debe hacer el responsable del tratamiento si el interesado solicita información sobre el tratamiento de sus datos?

El responsable del tratamiento deberá facilitar al interesado información relativa a sus actuaciones sobre la base de una solicitud y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.

El responsable del tratamiento deberá de informar sin dilación al interesado en caso de no poder atender su solicitud, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.

Cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad del interesado que presenta una solicitud de ejercicio de derechos de habeas data, podrá solicitar que se facilite información adicional necesaria para confirmar la identidad del mismo.

El responsable del tratamiento podrá facilitar la información a través de una combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto.

¿Cuáles son los puntos principales sobre los que se debe informar?

Cuando se obtengan los datos personales directamente del propio interesado, el responsable del tratamiento, en el momento en que los obtenga, debe informar de :

  • la identidad y los datos de contacto del responsable y, en su caso, del representante.
  • los datos de contacto del delegado de protección de datos.
  • los fines del tratamiento a que se destinan los datos personales.
  • la base jurídica del tratamiento. Y, en su caso, sobre el interés legítimo.
  • las categorías de datos personales de que se trate.
  • los destinatarios o las categorías de destinatarios.
  • el plazo de conservación de los datos personales o los criterios utilizados para determinarlo cuando no es posible informar del mismo.
  • la existencia del derecho a solicitar el acceso, rectificación o supresión, la limitación del tratamiento, a oponerse y el derecho a la portabilidad.
  • Si el tratamiento se basa en el consentimiento, de la existencia del derecho a retirarlo en cualquier momento.
  • El derecho a presentar una reclamación ante una autoridad de control.
  • En caso de comunicaciones, de la base legal o contractual que tienen. Se informa de las cesiones basadas en un requisito necesario para suscribir un contrato.
  • En su caso, sde la existencia de decisiones automatizas, elaboración de perfiles, sobre la lógica aplicada, la importancia y consecuencias previstas del tratamiento.
  • Antes de realizar tratamientos de datos personales para una finalidad distinta de la que fueron recogidos, se informa al interesado sobre esa otra finalidad y cualquier otra cuestión pertinente.

Cuando los datos personales no hayan sido obtenidos del propio interesado, el responsable del tratamiento, de manera adicional a todos los puntos anteriores, también deberá informar de la fuente de la que proceden los datos personales o si proceden de fuentes de acceso público. Esta información deberá ser facilitada:

  • Dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos.
  • Si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado.
  • Si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.

¿Cómo se debe informar?

La forma en la que se provee la información es de vital importancia. La comunicación de la misma debe incluirse en un aviso de protección de datos o declaración de privacidad.

El Grupo de Trabajo del Artículo 29 precisa que es indispensable que el método empleado para proporcionar la información sea apropiado para la circunstancia en particular; por ejemplo, brindando la información de forma escrita en una página web o mediante un vídeo, así como también a través de un código QR.

Tanto el Grupo de Trabajo del Artículo 29 como las diferentes autoridades de control[2] recomiendan el uso de declaraciones o avisos de privacidad por capas, que permiten a los interesados consultar los aspectos de los textos legales de mayor interés para ellos con un enfoque multinivel; el cual ayuda al responsable del tratamiento a diseñar los procedimientos y formularios.

El Proyecto de Ley Orgánica de Protección de Datos recoge esta posibilidad para el caso de que los datos sean obtenidos del afectado a través de redes de comunicaciones electrónicas o en el marco de la prestación de un servicio de la sociedad de la información, y supuestos expresamente establecidos por la ley o autorizados por la Agencia Española de Protección de Datos.

Señala, en su art. 11, que se facilitará al afectado una información básica y se le indicará una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información. La información básica deberá referirse a:

  1. a) La identidad del responsable del tratamiento y de su representante.
  2. b) La finalidad del tratamiento.
  3. c) El modo en que el afectado podrá ejercitar sus derechos

Las declaraciones o avisos de privacidad por capas se apoyan en dos pilares fundamentales:

  • El primer nivel consiste en la información básica para el interesado, que debe estar de forma resumida, y se debe ofrecer en el mismo momento en que se recopila la información y por el mismo medio por el cual se recojan los datos.
  • En el segundo nivel debe encontrarse la información de forma detallada, en un medio más adecuado para su presentación y compresión por el interesado.

La forma de presentar la información adicional depende del medio empleado para hacer llegar la información solicitada por el interesado. El lenguaje para presentar la información debe ser claro, conciso y sencillo, aplicando una exposición estructurada en los epígrafes de la tabla de información básica, evitando jerga jurídica que tal vez no pueda ser correctamente comprendida por el interesado y empleando, en la medida de lo posible, un formato de preguntas y respuestas.

La extensión de la información contenida en este nivel dependerá de la complejidad de cada circunstancia en particular. Pudiendo incluir información que no necesariamente haya sido contemplada en el RGPD con el fin de contribuir a mejorar la protección de los datos personales y generar confianza con el interesado.

¿Cuándo no es necesario informar al interesado?

Cuando se obtengan los datos personales directamente del propio interesado, el RGPD indica que no será necesario informar al interesado cuando ya dispone de la información.

Cuando los datos personales no hayan sido obtenidos del propio interesado, el RGPD indica que no será necesario informar al interesado:

  • Cuando ya dispone de la información.
  • Cuando la comunicación de dicha información resulta imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
  • Cuando puede imposibilitar u obstaculizar gravemente el logro de los objetivos del tratamiento, pero se adoptan medidas para proteger los derechos, libertades e intereses legítimos del interesado.
  • Cuando la obtención o la comunicación está expresamente establecida por normas de derecho aplicables.
  • Cuando los datos personales tienen carácter confidencial sobre la base de una obligación de secreto profesional regulada por normas de Derecho.

¿Cómo puede una organización saber si cumple con el principio de transparencia y el deber de información?

El Considerando 74 del RGPD establece que el responsable está obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento. Por ello, es muy importante asegurar una correcta identificación de las amenazas a los que está expuesta una actividad de tratamiento y los posibles riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados.

De este modo, la Agencia Española de Protección de Datos[3] ha elaborado un listado de cumplimiento normativo que incluye un punto específico para la valorar el grado de cumplimiento de la obligación de transparencia y del derecho de información que nos permite tener una primera aproximación.

 

Abel Loeches Márquez

AKELA

 

 

[1] Directrices sobre transparencia publicadas por el WP 29 el 29 de noviembre de 2017: (http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227)

[2] A titulo de ejemplo: https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/modeloclausulainformativa.pdf

[3] https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/2018/LISTADO_DE_CUMPLIMIENTO_DEL_RGPD.pdf

Cumplimiento GDPR: Modelos de Compliance

/0 Comentarios/en /por

Mucho se ha escrito, mucho se ha oído y mucho se ha podido ver, incluyéndose a las respectivas autoridades de control comentar respecto a cómo debería ser la adecuación y/o implementación del nuevo marco regulador de protección de datos. Este artículo no pretende ir más allá de mostrar mi humilde opinión jurídica en cuanto a lo que considero una correcta aplicación del GDPR, la cual la supedito a la integración o realización de los denominados modelos de compliance y, más concretamente, a la posibilidad de integrar el modelo COSO e ISO 19600 que no son más que modelos de control y gestión del riesgo, pudiendo partir, si se dispusiere, del Modelo de Prevención de Delitos Penales a los que hace referencia el artículo 31 bis del Código Penal.

 

Bajo mi interpretación del GDPR, el cual es configurado de forma transversal, y centrándome en la responsabilidad proactiva, dado que en virtud de la configuración enunciada, los responsables de tratamiento deberán prima facie (sustantivo) asegurar la correcta aplicación de los principios recogidos en el artículo 5 y desarrollados mediante los requisitos y obligaciones contenidos en los artículos 6  a 23, dando primacía al principio de transparencia, información, consentimiento y derecho de los afectados (garantizar el derecho de autodeterminación informativa). Sin embargo, dicho derecho sustantivo (hardlaw) es completado, dentro del principio de responsabilidad proactiva (Capítulo IV, especialmente, artículos 24 a 39) mediante normativa softlaw y, considero que dicho cumplimiento está configurado bajo los modelos de compliance.

 

La anterior afirmación la emito porque de una lectura exhaustiva del artículo 24 GDPR se desprende que dicha responsabilidad está basada en el principio de COMPLAIN & EXPLAIN: CUMPLE Y EXPLICA, base de todo programa de cumplimiento normativo. Dicho artículo hace mención expresa a términos como: riesgo, controles, políticas, etc. Por tanto y, en virtud, de la configuración transversal, el GDPR obliga con carácter general a establecer un modelo de compliance, el cual es desarrollado más pormenorizadamente, a través de los siguientes artículos, en los cuales se establecen especialidades en virtud del tipo de tratamiento de datos personales. Por ello, las obligaciones formales y/o documentales, tales como el Registro de Actividades de Tratamiento, no es el eje principal de una correcta aplicación y garantiza el cumplimiento, dado que dicho RAT no es más que lo que expresamente establece el propio GDPR (documento interno formal), pero no el requisito determinante para demostrar y garantizar el cumplimiento afecto, tal y como últimamente estoy cansado de escuchar a múltiples “consultoras.”

 

Comentado el precedente, qué pretende el GDPR con la responsabilidad proactiva. Dado que los estados ya no pueden garantizar el cumplimiento, no sólo en materia de protección de datos sino en otros ámbitos del derecho a través del referido hardlaw pretenden servirse de los distintos actores (empresas, administraciones públicas, servicios, etc.), por así decirlo, para controlar el cumplimiento, dándoles libertad para establecer un modelo o un proceso de cumplimiento (softlaw, el cual es aceptado por la sociedad), en este caso, relacionado con la privacidad, tomando como referencia cultura anglosajona (USA[1], Reino Unido[2]) pero también cultura europea (Alemania[3]) respecto a los denominados cumplimientos normativos. Dicho softlaw, principalmente y actualmente, toma como referencia marcos o normas estandarizadas reconocidos internacionalmente[4]. Entre dichos marcos y normas se encuentra el denominado marco COSO e ISO 19600 que, principalmente, recoge un proceso interno de gestión del riesgo y cómo contralar el mismo.

 

Si efectuamos una extrapolación de la finalidad del GDPR en cuanto a garantizar y acreditar la responsabilidad en referencia al modelo COSO e ISO 19600, las similitudes son extraordinarias. El GDPR, al igual que el modelo COSO (Coso I y III determinada el modelo, mientras que COSO II indica cómo gestionar el riesgo) el cual es tomado como base en ISO 196000 de la misma forma que en otro tipo de ISO (calidad, medio ambiente, prevención de riesgos, etc.), base su eficacia en los referidos modelos de cumplimiento. Analicemos el GDPR en base a dicho modelo de gestión del riesgo: El GDPR expresamente hace mención a las tres líneas de defensa de los modelos de compliance: Medición del riesgo (mapa) y establecimiento de políticas y controles a los riesgos; establecimiento y seguimiento de los controles; monitorización y/o supervisión del modelo de cumplimiento. Las tres líneas deben ser justificadas y documentadas, tanto en el supuesto de tratamientos que no precisen EIDP como aquellos tratamientos que precisen de EIDP por el carácter de alto riesgo en dicho tratamientos.

Ahora bien, como se pone lo comentado en tierra, a nivel práctico, es decir, dicha libertad basada en un modelo de compliance, cómo es operativo. Un modelo de cumplimiento GDPR se basa en tres pilares: diseño, implementación y eficacia operativa y, dicho modelo no se efectúa de la noche a la mañana y más, lamentándolo mucho, según está configurado el propio GDPR puesto que el mismo obliga a analizar el riesgo en virtud de operaciones, es decir, en virtud de la vida del dato (recogida, tipo de fuente de procedencia, operaciones internas, comunicaciones y/o transferencias, bloqueos, conservación, etc.) Relaciono el presente con las famosas EIDP, dado que pudiere suceder que en el análisis del riesgo la recogida no alcanzara un riesgo alto, pero la operación de comunicación a terceros sí y, en ese caso, sería necesario dicha EIPD.

 

Centrándonos en el GDPR y como base inicial, es obligatorio efectuar lo que se denomina mapeo de riesgos. Existen varias fórmulas, pero centraré el mismo, en dos extremos: riesgo en base a la actividad y el riesgo en base a los procesos. De dicho extremos, bajo mi impresión, es más fácil efectuar y/o medir el riesgo en base a la actividad, por lo tanto, en base a ella y a su afectación al responsable del tratamiento, habrá que determinar qué riesgos asociados a la actividad pudieren ser afectos en cuanto a la privacidad (tratamientos), dado que no es lo mismo una actividad de un centro sanitario que la actividad de una PYME más allá del servicio que presta, pero habrá que atender a las finalidades que se efectúan, puesto que pudiere suceder que se efectúe en una PYME profiling o análisis de perfiles que impliquen un aumento del riesgo y, por ende, un mayor seguimiento respecto a los controles a establecer.

 

Una vez efectuado el mapeo de riesgo y la matriz obtenida de dos coordenadas (riesgo y probabilidad), recomendando establecer o documentar el proceso a implementar, es decir, la denominada política de protección de datos; habrá que establecer los controles precisos a dichos riesgos, los cuales deberían, igualmente, establecer o contener los riesgos a las medidas técnicas y organizativas que se disponen (p.e. si disponemos de un riesgo asociado al acceso al sistema de información por falta de establecimiento de temporalidad de modificación de contraseñas, un control a establecer sería recordar o establecer la temporalidad; otro control es la revisión, cada cierto tiempo, respecto a la incorporación o testeo de las distintas cláusulas afectas o relacionar los encargados de tratamiento). Este segundo paso es la segunda línea de defensa, respecto a la cual ha de documentarse, por así decirlo, obtener la evidencia a dicho seguimiento y actuación. La tercera línea de defensa sería la verificación y/o supervisión, la cual, tal y como indica el propio GPDR la asumiría el DPO en caso que fuere preciso o la persona respecto a la cual el responsable del tratamiento haya designado. En este punto concreto, se ha de resaltar, como así se establece en los programas de compliance, que el mismo debe ser objeto principal de la dirección de la empresa, es decir, en el primer nivel y, ese nivel, sería por ejemplo el Consejo de Administración, al cual se habrá de reportar en relación al ámbito de privacidad y, sobre el cual, recaerá la asunción del nombramiento del respectivo DPO, puesto que el mismo, al igual que en otros ámbitos (PBCFT; Delitos Penales), aquel se sitúa, tal y como el propio GDPR establece en su artículo 38.3, en lo más alto jerárquicamente y bajo el principio de independencia y, dichos extremos deben ser garantizados: “El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.” Dicho DPO será el encargado de supervisar la Eficacia Operativa del modelo diseñado e implementado y el encargado de reportar a la alta dirección los informes relacionados, a través de las evidencias y documentos obtenidos a lo largo del tiempo.

 

La pregunta sería, se puede establecer dicho modelo de compliance con las herramientas y/o publicaciones que las autoridades de control han publicado. No tengo respuesta para ello, puesto que, si bien es cierto que tanto las guías sobre medición de riesgo y EIDP pudieren servir de base para establecer la primera línea de defensa, por el contrario, todo modelo de compliance ha de estar VIVO y, por ello, al contrario que sucedía con la LOPD (se efectuaba documento de seguridad y se quedaba en el cajón cogiendo polvo), ahora por el contrario, dicho modelo diseñado e implementado debe estar actualizado, puesto que será la defensa principal (atenuante o eximente) en caso de procedimientos sancionadores u otros análogos, más aún si lo extrapolamos con los principios rectores del ámbito penal y del artículo 31 bis referenciado al inicio del presente artículo, el cual indica que dicho programa debe estar VIVO, habiendo indicado la propia FISCALIA que disponer de certificación de ISO 19601 no es elemento atenuante sino que debe demostrarse que dicho modelo ha sido implantado eficazmente, de la misma forma que el GDPR se expresa al hablar de diligencia, supervisión y verificación. Por ello, mi primera reflexión acerca de que el modelo de cumplimiento del GDPR pudiere formar parte integrada del modelo de prevención de delitos penales, ampliando su alcance al establecimiento de controles y políticas asociadas a los delitos relacionados con la privacidad.

 

Terminando con el presente artículo, el cual precisaría de una mayor extensión, aunque la finalidad del mismo ha sido “intentar mostrar un poco de luz”, si bien habrá que dejar caminar al GDPR, sí me gustaría indicar dos cosas: primera, poco a poco se está produciendo una cambio cultural al respecto del presente ámbito, el cual ya empieza a tener su punto de partida tanto en la Ley de Contratos del Sector Público como en las relaciones con otras empresas e inversores, destacando la obligatoriedad y/o exigencia de acreditar o valorar el riesgo asociado a una actividad empresarial concreta; y segunda, para poder interpretar, entender y, especialmente, implementar el GDPR es necesario conocer y desenvolverse con procesos de cumplimiento basados en el riesgo y en la supervisión de los controles asociados a los mismos, por lo que, bajo mi apreciación, simplemente realizar un análisis a través, por ejemplo, de la herramienta FACILITA, descarga del RAT y check-list de verificación, no sería suficiente, porque como he comentado, el modelo de responsabilidad del GDPR ha de estar VIVO y las precedentes acciones son meras formalidades, amén de otros extremos afectos que no forman parte del presente artículo. Este artículo no es más que una simple opinión basada en la experiencia y en la interpretación del GDPR, pudiendo no ser compartida por otros actores o lectores.

       Efrén Santos Pascual

       Socio – Abogado TIC

       ICEF Consultores

       www.icefconsultores.com

      @efrensantos_tic                                                                                    

                                                                                    

 

 

[1] FCPA. Foreign Corrupt Practices Act

[2] Bribery Act

[3] IDWAssS 980

[4] BS 10012:2017: ISO 31000:2009; Directrices OCDE.

Datos personales en e-health: I.A. y Blockchain.

/0 Comentarios/en /por

«Del humanismo al dataísmo»

Desde primera hora del día que nos levantamos realizamos varias actividades cotidianas: un wearable nos despierta y nos muestra una curva de sueño, a continuación, acudimos a la nevera inteligente y nos frece el mejor desayuno en función de nuestras necesidades energéticas y genéticas, etc… Pero no todo es bonito: toda esta información queda almacenada. Los grandes volúmenes de datos pueden erosionar la privacidad1.

Nos encontramos en un cambio de Era: del “Humanismo” al “Dataísmo”2, en la cual los datos se usarán para detectar, provocar y condicionar comportamientos también en el sector del ocio, entretenimiento y la salud.

Cuando los abogados estadounidenses Warren y Brandeis propiciaron este derecho en 1890, fue en respuesta a la aparición de una nueva tecnología: la fotografía. Vieron el potencial de la fotografía inmiscuirse en espacios privados y transmitir lo capturado a audiencias cada vez más amplias a través de periódicos. Desde hace unos años ya estamos hablando de que las nuevas tecnologías emergentes: Big Data, IA, IoT, Blockchain, etc también se están inmiscuyendo en nuestro día a día.

Según la revista Forbes, para el año 2025, los sistemas de IA se habrán implementado en el 90% de EEUU y en el 60% de los hospitales y aseguradoras del mundo3 y esta realidad futura ya ha sido contemplada incluso por las Instituciones Comunitarias. El Parlamento Europeo (2017, Considerando b) recuerda que con los macrodatos en algunos casos se capacitan dispositivos de inteligencia artificial como redes neuronales y modelos estadísticos con el fin de predecir algunos acontecimientos y comportamientos.

Respecto a las posibilidades de esta tecnología encontramos ejemplos comunes en a la asistencia virtual (Molly, desarrollada por la compañía Sense.ly) para la gestión de la salud cuyo interfaz utiliza el aprendizaje automático para apoyar a los pacientes con enfermedades crónicas entre las visitas del médico. En la actualidad, unos 7.000 médicos de 500 instituciones de todo el mundo utilizan y desarrollan una herramienta de diagnóstico y gestión que utiliza la inteligencia artificial para obtener información útil del conocimiento médico colectivo mundial. Conocido como el Human Diagnosis Project, o Human Dx, la herramienta en línea permite a los médicos hacer una pregunta clínica a la comunidad del proyecto y cargar cualquier información de respaldo. Poco después, reciben un informe de respuestas agregadas y priorizadas.

¿Y los problemas dónde están? El mayor problema se encuentra en las diferentes fuentes de datos personales que se transmiten desde diferentes redes en donde se puede establecer una correlación sin que la persona física identificable haya dado su consentimiento. Si estamos ahora en cerca de 20 millones de dispositivos en red en la cara del planeta en relación con 7,3 millones de seres humanos, las estimaciones están entre 75 y 300 millones de dispositivos en menos de cinco años. Es así como surgen las inquietudes sobre la ética y la privacidad de los datos. David Gray4, experto en privacidad, llama la atención el concepto de “integridad de los datos”, el cual podría acercarse a los principios de finalidad y minimización de datos. El desafío podría venir en descifrar el procesamiento para darle sentido y volverlo a cifrar. Lo que podría ser una solución es contar con IA con “código abierto”. Por ejemplo, pensemos en una app de e-Health (app “Vida”) la cual utiliza esta tecnología donde pregunte acerca del consentimiento para reunir y combinar datos. En este caso el individuo puede no dar el consentimiento pero sí que puede darlo en el caso de que en algún momento su ritmo cardiaco sea bajo y se sufra un accidente de tráfico. Puede que la propia máquina o dispositivo de Inteligencia Artificial acabe preguntándonos qué datos queremos que se traten y cuáles no.

La debilidad mayor de la eHealth es sin duda la privacidad de los datos de los pacientes. En un estudio5 de octubre de 2017 de una consultora se reveló que el 90% de los gerentes y especialistas en TI de estos grupos médicos consideraron que la cadena de bloques puede ayudar a solucionar los problemas del sector, incluidos aquellos inconvenientes relacionados con el mantenimiento de registros, la conectividad de la red y la privacidad de la información.

Blockchain resuelve con su operativa el principal riesgo y problema dentro del ámbito de información médica de pacientes: la seguridad e inviolabilidad de los datos recogidos en sistemas integrales de recogida de información médica de usuarios. Además, permite compartir de forma segura información entre pacientes, lo que a su vez permitiría a los mismos compartir información con sus médicos o cuidadores.

Un ejemplo de usabilidad es la alianza entre la Administración de Alimentos y Medicamentos de Estados Unidos (FDA)IBM Watson Health para explorar el uso de Blockchain en el uso compartido de información médica. El convenio incluye el intercambio de datos de pacientes procedente varias fuentes, incluyendo registros médicos electrónicos, ensayos clínicos, datos genómicos y datos de salud procedentes de dispositivos móviles, wearables e Internet of Things.

Otro ejemplo, es la alianza entre Alibaba Health Information Technology y el Gobierno Chino que pretende almacenar los datos del sistema de salud a través de Blockchain. La empresa tecnológica pretende conectar la infraestructura médica con el sistema de tratamiento médico. Los médicos autorizados serán instantáneamente informados del historial médico del paciente y de cualquier información sobre los exámenes de salud. Esto ayudará a los médicos a evitar cualquier repetición de exámenes básicos de salud para brindar atención al paciente de una manera más rápida, eficiente y más barata. La cadena será especialmente compatible con los sistemas médicos existentes, allanando el camino para una implementación más rápida de la tecnología a escala comercial. Blockchain propone redefinir cómo se organiza la información y nuestra idea sobre la confianza entre las partes. Sin embargo, su uso en el sistema sanitario depende de la creación de una infraestructura técnica adecuada. Hospitales, clínicas, organizaciones gubernamentales y demás organizaciones del sistema deben estar dispuestos a colaborar para crear, prototipar y probar los conceptos fundamentales que harán las bases para las historias clínicas del futuro6.

Hasta aquí, el nuevo escenario de la e-Health en la era del “Dataismo” y algunos de los retos que se nos plantean las tecnologías I.A. y el blockchain. Veremos si la nueva regulación futura podrá dar solución a los retos planteados, también, desde el ámbito de la ética.

Lorena Pérez Campillo

Profesora y Coordinadora Académica del Máster Universitario de Protección de Datos de la UNIR

Abogada Ejerciente ICAM.

Asociada de ENATIC

1 Ver en https://www.technologyreview.es/s/3564/la-dictadura-de-los-datos

2 El creador del concepto es Steve Lohr, Chief Technology Reporter de “The New York Times”. Lohr llama al dataism como «un punto de vista, o filosofía, sobre cómo las decisiones serán, y tal vez deberían ser, tomadas en el futuro».

3 Ver en: http://internetofthingsagenda.techtarget.com/definition/IoMT-Internet-of-Medical-Things

4 Ver en : https://www.enterpriseirregulars.com/116296/%E2%80%8Bartificial-intelligence-privacy-engineering-matters-now/

6 Ver en : Fuente: http://ehealthreporter.com/es/noticia/blockchain-una-tecnologia-que-revolucionara-la-salud/

Tu miedo. Mi beneficio.

/0 Comentarios/en /por

“Para comprender la seguridad no hay que enfrentarse a ella,

sino incorporarla a uno mismo.”

-Alan Watts – (1951)

 

En los últimos meses una vorágine de noticias alrededor de la vulnerabilidad a través de las nuevas tecnologías,  ha incrementado nuestro miedo en relación al valor de nuestra seguridad. Desde diferentes frentes, tanto desde un punto de vista personal, hasta el gubernamental, pasando por el corporativo, hemos visto un increscendo de amenazas de todo tipo hacia nosotros. Sin darnos cuenta, miedos que teníamos controlados y paliados han vuelto a resurgir. Pero ¿Cómo nos afectan? ¿Se pueden mitigar de alguna manera? ¿Quiénes obtienen rendimiento de ello?

En mi opinión, cuando hablamos del resurgir de nuevas amenazas, nos hemos de situar en aquellas  emergidas alrededor de las TIC. Éstas están comprendidas, directa e indirectamente, en tres ámbitos fundamentalmente, a mi entender, como son: el ámbito personal/civil, el ámbito empresarial, así como el ámbito gubernamental. En las últimas semanas hemos visto claros ejemplos  de todos ellos con consecuencias, en algunos casos, desgarradoras. Ejemplos como los atentados perpetrados por grupos extremistas en UK, nos dan una imagen cruel y real de cómo nos afectan a nuestra seguridad, tanto como individuos, como gobiernos. Desde cualquier ámbito, todos ellos tienen un común denominador, el mermar nuestra seguridad a través del miedo. Pero  ¿Cómo se hace?

Una de las funciones intrínsecas de los Estados, entre otras, es la responsabilidad de velar por la seguridad de sus habitantes. Pero ¿Qué ha ocurrido en los últimos años para que nos volvamos a sentir amenazados? ¿Por qué ahora más que nunca los gobiernos se sienten perdidos en dicha labor? Quizá, en mi humilde opinión,  una de las razones más importantes, radica en su manera de proceder, mientras que en siglos pasados las batallas se libraban dentro de un área terrenal, en la actualidad se producen en un campo virtual. Me explico.

Desde la financiación del terrorismo hasta su adoctrinamiento, hasta delitos de otra índole, como son el ciberespionaje o el “Hackeos”, en su amplia variedad, se producen a lo largo del día, 7/24, a través de la red, y  entre sus víctimas encontramos a  todos los niveles. Gracias a las nuevas tecnologías, lo que antes llegaba sólo a un grupo reducido de personas, ahora en cuestión de segundos, se extiende de manera global; en consecuencia, lo que antes los gobiernos, corporaciones y civiles, tenían fácilmente controlado, ahora  en segundos se desvanece, y con ello, nuestra seguridad se convierte en volátil.

Después de los últimos atentados ocurridos alrededor del mundo, se ha podido comprobar un auge en la preocupación de los Estados en relación a la protección de sus individuos. Así en los últimos días, mientras que Bélgica ha aprobado comprar un software para identificar a posibles terroristas; países como Australia, UK, US, Canadá o NZ, se han reunido en Ottawa para tratar, entre otros menesteres, la seguridad de sus ciudadanos. En dicha reunión, se planteó de nuevo la necesidad por parte de los Gobiernos, de regular Internet. Más concretamente, se estableció por parte del Primer Ministro australiano, Malcom Turnbull, la necesidad de establecer mediante legislación, la cooperación  necesaria entre los Estados y las grandes mensajerías en Redes sociales, como Facebook Messenger, Whatsapp o Viber, para facilitar la desencriptación de los mensajes, por parte de éstas, cuando éstos pudieran provenir del ámbito del terrorismo. Pero ¿Dónde reside el límite entre la privacidad de los ciudadanos, y la seguridad nacional? ¿Acabaría con el problema?  Y los más importante ¿A quién beneficiaria? ¿Al ciudadano, al verdugo, o quién está detrás del verdugo? Son preguntas que antes de legislar debemos tener presentes.

 

Al igual que los Gobiernos, las corporaciones y civiles también sufren amenazas hacia su seguridad mediante injerencias en internet. Pero ¿les afectan de igual manera?  A mi entender, en esencia podríamos decir que sí. Todos somos vulnerables en la red, sin ninguna distinción. Un claro ejemplo lo tuvimos el pasado 12 de mayo del presente año, cuando el famoso ramsonware  Wannacry atacó, según EUROPOL, a más de 200.000, principalmente grandes empresas, y al menos en 150 países, pero ¿ha sido o será la última? No, por gracia o desgracia se pronostica un auge en los próximos tiempos. Hace tan sólo unos días, el pasado 27 de junio, se registró un nuevo ataque masivo,  su  target, como en anteriores ocasiones, fueron empresas y Estados, entre ellos, empresas tan importantes como la central nuclear de Chernóbil  o el Estado español. ¿Cómo se pueden prevenir? En estos casos, planes de prevención, compliance y formación a los trabajadores, son las mejores medidas que pueden aportar las empresas e instituciones para aminorar el riesgo de sufrir pérdidas de su información, y por tanto salvaguardar su corporación y sus posibles consecuencias.

Por último, pero no menos importante, nos encontramos en el ámbito personal, ejemplos como el “ciberbulling”, “sexting” o “phishing”, entre otros, forman  parte del gran abanico de  delitos, que abarcan al individuo o colectivo como victimas preferentes.

Todos y cada uno de ellos establecen  una serie de características comunes. Primero, los riesgos deviene de un tercer ente, los cuales mediante el miedo, nos hace peligrar nuestra seguridad desde un mundo virtual, el cual de momento no podemos controlar al 100%.  Segundo, desde el ámbito gubernamental, como en el ámbito corporativo o individual se nos muestra que dicho riesgos vienen y devienen, tanto en el mismo ámbito, es decir de manera horizontal (ej. Ciberespionaje entre Estados o compañías del mismo sector), como de manera vertical (ej. Wannacry, un ataque básicamente a empresas y Estados, por también de manera indirecta a los individuos). Tercero, cuando hablamos de nuevas tecnologías, debemos tener en cuenta, que sus pros y sus contras, no se dan en un área específica, sino que se dan a nivel transversal, en todas las áreas de nuestras vidas, tanto en la esfera privada, como institucional pasando por la corporativa. Y cuarto y último, somos los máximos responsables de adoptar las medidas que se adecuen  mejor a nuestra seguridad; ejemplos como la privacidad en nuestras redes sociales, adoptar y aplicar un buen plan compliance en nuestra empresa o legislar de manera diligente como Estado, son actos que nos pueden ayudar a prevenir de posibles males en un futuro. Pero aún así, mírame ¿crees que estamos seguros?

 

Àngela Lleixà Alsina

Abogada Multidisciplinar especializada en: TIC, Empresa, Parlamentario e Internacional

Asociada de ENATIC

@ngelalleixa

La legitimación para el tratamiento de datos personales en el nuevo RGPD

/0 Comentarios/en /por

Con la entrada en vigor el próximo 25 de mayo del nuevo Reglamento Europeo de protección de datos personales (RGPD o GDPR), deberá revisarse que todos los tratamientos de datos personales en curso se adecuan al mismo, en sus múltiples facetas o nuevas obligaciones para los responsables o encargados del tratamiento.

El RGPD tiene como novedad significativa que va a ser de aplicación directa en todos los estados miembros de la UE y presenta numerosas novedades con respecto a la actual legislación, la Ley 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y su Reglamento de desarrollo, entre las cuales debemos analizar lo relativo a la legitimación para el tratamiento de los datos personales.

Encontramos los parámetros esenciales exigidos para la licitud del tratamiento en el art. 6, las condiciones para que consentimiento sea válido, art. 7 y una extensión especial para determinar las condiciones necesarias para la validez del consentimiento del niño, con relación a los servicios de la sociedad de la información en el art. 8.

El artículo 6 del RGPD nos indica los requisitos para que un tratamiento de datos personales pueda ser considerado lícito:

El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

He resaltado los dos aspectos que, en mi opinión, van a ser más controvertidos en cuanto a su aplicación.

Las condiciones para el consentimiento. El consentimiento tácito.

Las características del consentimiento exigidas por el art. 7 se exponen a continuación:

  • El responsable deberá poder demostrar el consentimiento del interesado (art. 7.1).

  • Debe ser revocable fácilmente (art. 7.3).

  • El consentimiento debe recaer sobre todos los fines para los que vayan a tratarse los datos (Considerando 32).

  • El consentimiento debe ser informado, en un lenguaje claro y sencillo, como mínimo de la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales y deberán evitarse cláusulas abusivas.

  • El consentimiento deberá ser consciente y libre (considerando 42).

Además, el Reglamento establece otros requisitos para que pueda considerarse que la manifestación de voluntad sea válida:

  • Consentimiento “explícito”, habilitador para el tratamiento de categorías especiales de datos personales (art. 9) o ser objeto de decisiones individuales automatizadas (art. 22).

  • Consentimiento “inequívoco”. En este sentido, para considerar que el consentimiento es inequívoco, debe existir una declaración de los interesados o una acción positiva que indique la conformidad del interesado (art. 4.11).

En el Considerando 32 del Reglamento se considera como acción positiva el hecho de marcar una casilla de un sitio web en internet, así como la realización de una conducta que indique claramente, en este contexto, que el interesado acepta la propuesta de tratamiento de sus datos personales.

Así pues, la conducta de un interesado puede llevar a comportar la prestación de un consentimiento inequívoco para el tratamiento de sus datos personales, pudiendo ser considerada esta conducta como una acción positiva a que hace referencia el art. 4.11.

En este sentido, la Audiencia Nacional ha validado diferentes conductas de interesados como acciones que validan el consentimiento en diferentes y variadas situaciones, por ejemplo, por uso del servicio de telefonía, por el abono de varias facturas del servicio, por los actos posteriores a un arrendamiento de vehículo, etc.

El simple consentimiento tácito que contemplaba el Reglamento de desarrollo de la LOPD, en su artículo 14, consistente en que, si el interesado nada oponía en 30 días desde su comunicación, deberá considerarse no válido. La Agencia Española de Protección de Datos ha manifestado su criterio de que el Reglamento deroga este artículo, puesto que no existe acción específica por parte del interesado, es decir, el Reglamento no admite la “inacción”, como causa de considerar otorgado el consentimiento para el tratamiento de los datos personales.

La habilitación del tratamiento para la satisfacción de intereses legítimos.

En el art. 6.1.f se establecen los intereses legítimos que deben considerarse y que pueden ser de los responsables o de terceros, haciendo especial referencia siempre a que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.1

En este sentido se plantea un conflicto entre lo que pueda representar intereses legítimos, no solo de los responsables, sino también de terceros versus los derechos y libertades fundamentales del interesado.

La Sentencia del Tribunal de Justicia de la UE de febrero de 2012, resolvió que la mera invocación de un interés legítimo no puede considerarse suficiente para legitimar el tratamiento de datos personales sin el consentimiento del afectado. En sus fundamentos, el propio Tribunal argumenta la necesidad de realizarse, en cada caso concreto, una ponderación entre el interés legítimo de quien va a tratar los datos y los derechos fundamentales de los interesados, para determinar cuál debe prevalecer.

La Audiencia Nacional ha considerado procedente, entre otros, un interés legítimo en diferentes supuestos en que la publicación de algunos datos se ha considerado amparada por la libertad de información, la existencia de un interés legítimo en el envío de correo electrónico a miembros de un colectivo profesional por parte de un candidato a elecciones en dicho colegio y la actividad de un motor de búsqueda en la actividad desarrollada.

También la Agencia Española de Protección de Datos ha considerado diferente casuística como legitimadora para tratar los datos, atendiendo en cada caso al contexto y la finalidad, ponderando los intereses en conflicto en cada caso.

En resumen, el nuevo Reglamento viene a clarificar y delimitar con más profundidad los requisitos exigibles para que un tratamiento de datos personales pueda tener legitimidad, lo que debe llevar a los responsables a la revisión de si es posible continuar con el tratamiento de los datos de que dispone o debe recabar algún tipo de consentimiento, teniendo en cuenta el Considerando 171 que permite la continuidad en el tratamiento, si el consentimiento obtenido se ajusta a las condiciones del presente Reglamento. En cualquier caso, deberán ser objeto de revisión los protocolos de los tratamientos para adecuarlos a los requisitos del nuevo Reglamento.

Pere Rius Alonso
Abogado
Asociado ENATIC
TICJURIS ADVOCATS, SLP
Vic
www.ticjuris.com
https://www.linkedin.com/in/pere-rius-alonso-6b6ba516/
@rius_pere

1 De acuerdo con el art, 8.1, se considera niño al menor de 16 años, aunque los estados pueden regular una edad inferior, siempre que no sea inferior a 13 años. En España, el actual Reglamento de desarrollo de la LOPD considera la edad de 14 años para que el menor pueda dar su consentimiento.