La rebaja jurisprudencial del Derecho de protección a la información personal en la videovigilancia de los trabajadores.

/0 Comentarios/en /por

La Sentencia 39/2016, de 3 de marzo de 2016[1] de nuestro Tribunal Constitucional, se suma al amplio catálogo de pronunciamientos jurisprudenciales relativos a la utilización de sistemas de videovigilancia por parte de las empresas, que han ido acotando esta herramienta y la forma en la que puede válidamente llevarse a cabo.

Esta sentencia ha ampliado la posibilidad de introducir la videovigilancia dirigida al control de la actividad laboral, incluso de forma permanente, sin que haya una información previa y específica por la que los trabajadores puedan conocer la existencia de dicho control[2].

Su relevancia se debe al nuevo alcance que el derecho de información tiene para la protección de la información personal. Según se afirma en su texto «tiene especial trascendencia  constitucional  (art. 50.1 b) de la Ley Orgánica  del  Tribunal  Constitucional), pues  las  especificidades  propias  del  caso  permiten  a  este  Tribunal  perfilar  o  aclarar  su doctrina en relación con el uso de cámaras de videovigilancia en la empresa  que ya se habían perfilado en anteriores sentencias» citándose la número 155/2009,  de 25 de junio,  (FJ 2 b).»

Se pretende así, continúa «aclarar  el alcance  de la información  a facilitar a los trabajadores sobre la finalidad del uso de la videovigilancia  en la empresa: si es  suficiente  la  información  general  o,  por  el  contrario,  debe  existir  una  información específica (tal como se había pronunciado la STC 29/2013, de 11 de febrero). »

Efectivamente este criterio ha sido seguido posteriormente en otros pronunciamientos como la sentencia del Tribunal Supremo de fecha 31 de Enero de 2017[3], aunque en en este caso el trabajador conocía la ubicación de las cámaras, en su FD 1,4º destaca que «debe tenerse presente también, la nueva doctrina que ha sentado el Tribunal Constitucional sobre la materia, en su reciente sentencia de 3 de marzo de 2016, donde ha rebajado las exigencias informativas que debe facilitar la empresa al trabajador cuando instala un sistema de video-vigilancia, como luego se verá«.

Este criterio, según se indica ya se había aplicado en la sentencia del Tribunal Supremo de fecha 7 de Julio de 2016.

Entre la sentencia del Tribunal Constitucional y las del Tribunal Supremo ha surgido sin embargo un hecho trascendental y que es la vigencia (pendiente de ser de plena aplicación) del nuevo Reglamento Europeo de Protección de Datos y de libre circulación de estos de 27 de abril de 2016 y que no ha sido tenido en cuenta, ni siquiera en la aplicación del principio de transparencia en el tratamiento de la información personal al que luego nos referiremos.

Esta norma llevará a otras lecturas relativas a cómo evoluciona y se ha de tratar el concepto de información personal, o Derecho de protección de datos personales,  y que deberá ser resuelta teniendo en cuenta parámetros muy distintos para efectuar la ponderación de derechos que en la actualidad se tienen en cuenta para resolver el conflicto de intereses jurídicos:  derecho a la información personal/legítimo interés empresarial.

Por tanto el nuevo criterio seguido por el Tribunal Constitucional nos parece criticable por dos razones:

1.- La primera basada en el criterio de los Magistrados de este Tribunal que han añadido sendos votos particulares a la sentencia y en los que se habla (Valdes Dal-Re)  «de retroceso en la protección de los derechos fundamentales de las personas que prestan un trabajo asalariado y que vengo denunciando en los últimos años…» y «…que revela una orientación que tiende a vaciar de contenido sustantivo un modelo constitucional de relaciones laborales acorde con el Estado social y democrático de Derecho .» [4]

2.-  La segunda por una inexplicable confusión conceptual,  entre el derecho a la intimidad  y el derecho de Protección de Datos, lo que conlleva una defectuosa defensa de la esencia de este último como Derecho fundamental[5], separándose de la propia doctrina del Tribunal Constitucional que su Sentencia 292/2000 contribuyó acertadamente a crear. Es como si el tiempo transcurrido permitiese obviar la trascendencia que tiene para el Derecho de protección de datos su autonomía frente a otros Derechos fundamentales[6].

Lo más relevante es determinar si la instalación de las cámaras tiene que servir para que la empresa pueda legítimamente prevenir su patrimonio empresarial o si esto puede servir para «atrapar»[7] (como afirma VALDES DAL-RE) al posible culpable.

Dado que hubo una evidente infracción laboral la sentencia ofrece pocas dudas en cuanto a su resultado, pero sin embargo sí que cabría pensar en que hubiese sucedido si las empresas informasen de la medida de control desde el comienzo, ya que seguramente no se daría lugar a cometer ningún ilícito laboral siendo innecesario tener que despedir.

Por tanto nos encontramos con un ejemplo práctico de como la defensa débil de un derecho por parte de los ciudadanos, como es el de privacidad, nos lleva a soluciones más ineficaces,  que configuran además una sociedad mucho menos justa.

Hoy el principio que establece la nueva norma europea no solo es el de información sino el de transparencia[8] lo que no deja de ser relevante para el tema analizado una vez que esta sea de aplicación plena, lo que augura nuevos criterios jurisprudenciales antes los cuales deberemos encontrarnos debidamente prevenidos.

 

Roberto L. Ferrer Serrano
ABOGADO en Aralegis
www.aralegis.es
Profesor Asociado Area Derecho Laboral. Univ. de Zaragoza
 @robertoferrer21
https://www.linkedin.com/in/roberto-l-ferrer-serrano-4605b020/

[1] Tribunal Constitucional. Pleno. Sentencia 39/2016, de 3 de marzo de 2016. Recurso de amparo 7222-2013. BOE  8 de abril de 2016. Supuesta vulneración de los derechos a la intimidad y a la protección de datos: despido basado en las imágenes captadas por una cámara de videovigilancia instalada sin comunicación previa a la trabajadora.

[2] GOÑI SEIN, J.L. Instalación de cámaras de videovigilancia para la obtención de pruebas y deber de información previa. RESEÑAS DE JURISPRUDENCIA (ENERO-JUNIO 2016) ARS IURIS SALMANTICENSIS, VOL. 4, DICIEMBRE 2016, 288-291. «La nueva orientación que emerge de la sentencia del tc flexibiliza el requisito esencial del deber de información previa del derecho fundamental del artículo 18.4 ce hasta el punto de convertirlo en una exigencia meramente formal»

[3] Sentencia Tribunal Supremo Sala de lo Social, Ponente: JOSE MANUEL LOPEZ GARCIA DE LA SERRANA accesible desde: <http://www.poderjudicial.es/search_old/doAction?action=contentpdf&databasematch=TS&reference=7950854&links=&optimize=20170306&publicinterface=true>

[4] Voto particular del Magistrado don Fernando Valdés Dal-Ré a la Sentencia 39/2016, de 3 de marzo de 2016. Recurso de amparo 7222-2013. BOE  8 de abril de 2016, al que se adhiere la Magistrada doña Adela Asua Batarrita(F.I.1).

[5] Por ejemplo, se afirma en la sentencia a la que nos referimos que: «para el Ministerio Fiscal el derecho a la intimidad de la recurrente en amparo resultaba justificadamente  limitado, en tanto la filmación se ceñía a la observación  del espacio en el que se ubicaba la caja registradora» (FD 1).

También en la sentencia se produce esta confusión al afirmar que « ha  ponderado adecuadamente  que  la  instalación  y  empleo  de  medios  de  captación  y  grabación  de imágenes por la empresa ha respetado el derecho a la intimidad personal de la solicitante de amparo…«.

[6]Tribunal Constitucional. Pleno. Sentencia 292/2000, de 30 de noviembre de 2000. Recurso de inconstitucionalidad 1.463/2000. Promovido por el Defensor del Pueblo respecto de los arts. 21.1 y 24.1 y 2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Vulneración del derecho fundamental a la protección de datos personales. Nulidad parcial de varios preceptos de la Ley Orgánica.

[7] Voto particular del Magistrado don Fernando Valdés Dal-Ré a la Sentencia 39/2016, de 3 de marzo de 2016. Recurso de amparo 7222-2013. BOE  8 de abril de 2016, al que se adhiere la Magistrada doña Adela Asua Batarrita(F.II.C.5)

[8] El Considerando 39  del nuevo Reglamento Europeo establece que «Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados.»

Este Reglamento si bien se encuentra ya en vigor,  su aplicación plena tendrá lugar en Mayo de 2018.

Cuarto milenio – misterios del GDPR

/0 Comentarios/en /por

“Bienvenidos a la nave del misterio”, entradilla ya mítica de Iker Jiménez en el programa que sirve de título al presente artículo. Hoy nos adentraremos en los misterios y enigmas que, a poco más de un año para su aplicación, nos oculta el reglamento de protección de datos. Preguntas sin resolver o, al menos, para quien suscribe el presente, situaciones que se muestran semi-ocultas entres los artículos y considerando del GDPR.

El primero de los misterios acontece en el propio objeto y ámbito de aplicación, dado que la finalidad del GDPR es, según reconoce expresamente, “la protección de las personas físicas en lo que respecta al tratamiento de los datos personales.” Ahora bien, el propio GDPR parece que establece una supremacía o subsidiaridad de protección, en base a un elemento común, la identificación -reconocimiento de la persona física-, la cual pudiere disponerse -interesado- o pudiere obtenerse -directa o indirectamente a través de identificadores.- Si a dicho objeto material le agregamos la definición de dato personal, la cual dice: “toda información sobre una persona física identificada o identificable”, tal vez solamente esté protegiendo la información en base al elemento de reconocimiento, es decir, que si no existe elemento de identificación no podría aplicarse el GDPR. Imaginemos que un empresa suscribe contrato con un proveedor de servicios de acceso a Internet y que dicha entidad suministra el router a través del cual se recopila información con la finalidad de utilizar la data asociada y recabada a través del router para proporcionar información, contenidos y publicidad en base a múltiples criterios -conexión; terminales conectados; puertos abiertos; contenido y hora de visualización; etc.- Si la identificación no permite identificar a una persona física pero de la data obtenida pudiere parametrizarse resultados que permitiera conocer información asociada a una persona física, entonces, sería aplicable el Reglamento o, por el contrario, se consideraría que los elementos identificadores no permite obtener el reconocimiento de la persona física.

El segundo de los misterios es el que aparece de soslayo dentro de los considerandos del GDPR, concretamente, en el (78)[i] donde al interesado se le reconoce un derecho nuevo, el derecho de supervisión de las medidas técnicas y organizativas que tenga implantadas en el responsable del fichero o encargado de tratamiento respecto al tratamiento de datos personales. Ahora bien, esta supervisión, teóricamente está basada en el principio de transparencia, pero no específica de qué forma el responsable y encargado deberían hacer frente a esta potestad otorgada al interesado. ¿Dicha supervisión podría hacerse efectiva a través del principio de información o a través de códigos éticos o a través de organigramas visuales? En caso que dicho derecho pudiere ser ejercitado ¿Cómo sería el procedimiento para poder ejercitarlo? ¿A través de qué medios o canales se debería hacer efectivo dicho derecho: mediante enlace a Página Web disponible y sin limitación de acceso; con limitación en base a la identificación de interesado? ¿Podría ser ejercitado por cualquier interesado, estuviere o no identificado?

Otro de los misterios, nada baladí, hace referencia a la aplicación del Reglamento a aquellos responsables o encargados establecidos fuera de la Unión Europa, como así reconoce el propio GDPR en su Considerando (23) y (24)[ii]. Pero, ¿qué ocurrirá con aquellos servicios de suscripción basados en el análisis comportamental y utilización de dicha información para la puesta a disposición de publicidad dirigida a residentes en la Unión Europea desde fuera de la misma? Estoy pensando en servicios gratuitos dirigidos en base a la obtención de información mediante de APIS donde el responsable y encargado indistintamente utilizan la data desde fuera de las fronteras de la Unión Europea, no solamente mediante publicidad programática sino mediante la nueva modalidad publicitaria -header bidding.-

Llegamos a uno de las grandes incógnitas regulatorias, los denominados profiling de opiniones políticas en procesos electorales, que abre la puerta a los partidos políticos a efectuar un análisis de los interesados durante el proceso electoral, expresamente dispuesto en el Considerando (56)[iii].Ya no sólo van a poder utilizar el censo para remitir, sus ya clásicas correspondencia electoral, sino que, a partir de ahora, podrán efectuar un target, especialmente, a través de las redes sociales, con el fin de obtener una data que le permita dirigir a un público determinado dicha propaganda. Según el GDPR debe ofrecerse garantías, pero desconozco cuáles y de qué forma se procederá a regular dicha posibilidad y si la utilización de dicha target caducará o vencerá al finalizar el proceso electoral.

Otra incógnita, ésta en base a la interpretación del GDPR, es la que afecta al apartado 5 del artículo 30[iv] en cuanto a la obligación de registrar las actividades de tratamiento, dado que, bajo la perspectiva de quien suscribe, la apariencia de interpretación podría ser sencilla, considero que la redacción de la excepción contemplada en dicho apartado no es del todo clara. Según dicho apartado, las empresas u organizaciones de menos de 250 empleados no tendrán la obligación de llevar a cabo el registro de actividades de tratamiento, pero dicha excepción se basa en tres requisitos, no siendo éstos opcionales

más que en el último caso cuando utiliza expresamente la conjunción “o” separando claramente las denominadas categorías especiales de datos personales, es decir, estaríamos ante una excepción difícil de albergar, puesto que operaría solamente, si el tratamiento de datos no supone riesgo para los derechos y libertades fundamentales así como el requisito que dicho tratamiento no sea ocasional. Por lo que esta parte entiende nunca podrá darse la excepción en categorías especiales ni en tratamientos no ocasionales y, por la expresión ocasional, es clara la referencia contemplada en el RDLOPD cuando expresamente alude a ella en el artículo 81.5 b)[v].

Para concluir la nave del misterio, aunque no las incógnitas que plantea el GDPR, es interesante las tipologías de, llamémoslas auditorías o controles de cumplimiento. Hay que rascar un poco el GDPR para encontrarnos con cinco tipos: dos, tres o cuatro en virtud del tratamiento y las especialidades de los responsables y encargados, y una última la correspondiente a las que realizaran las autoridades de control. Por una parte, las empresas tendrán que efectuar como mínimo, la denominada privacidad por diseño y la auditoría de comprobación. A estas habrá que sumarles en caso de transferencias internacionales las adscritas a dicho tratamiento y, las EIPD´S o PIA´S como control preventivo. Un sinfín de controles preventivos y legales a través de múltiples metodologías a considerar por los responsables y encargados. Igualmente, significativo es cómo efectuarán las PYMES la adecuación a dichos controles y, si temporal o definitivamente, pueden ampararse en la metodología ya establecida en el Título VIII del RDLOPD.

Hasta aquí, la nave del misterio del GDPR, todo un sinfín de incógnitas y de situaciones complejas que dará lugar para múltiples opiniones, pero este breve artículo, equivocado o no, simplemente se ha redactado para, al menos, “adentrarse en variantes que, a fecha presente, considero que no se han puesto de manifiesto” y que, probablemente, la adecuación regulatorio tendrá sus complejidades a la hora de abordarlas. Hasta la próxima nave del misterio, sigan creyendo o al menos no renuncien a lo sobrenatural.

 

Efrén Santos Pascual
Socio – Abogado TIC
ICEF Consultores
www.icefconsultores.com
@efrensantos_tic    

 

                                                                                

[i] (78) […] Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad […]

[ii] (24) El tratamiento de datos personales de los interesados que residen en la Unión por un responsable o encargado no establecido en la Unión debe ser también objeto del presente Reglamento cuando esté relacionado con la observación del comportamiento de dichos interesados en la medida en que este comportamiento tenga lugar en la Unión. Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes.

[iii] (56) Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas.

[iv] 5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

[v] En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando: b) Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.

Empresa y trabajadores: Productividad, control y privacidad.

/0 Comentarios/en /por

Caso de estudio:
Empresario preocupado por la productividad de sus trabajadores en su empresa quiere implantar una serie de medidas de control. Plantea prohibir el acceso a redes sociales y el uso de los ordenadores de la empresa con tareas que pueden perjudicar la productividad.
Premisa:
Planteamos al empresario reflexionar sobre el hecho de que limitar ciertos servicios o accesos podría incluso ser contraproducente para su actividad. La información obtenida en internet es importante en cualquier empresa, por lo que limitar a los trabajadores estas herramientas de trabajo podría tener mas inconvenientes que beneficios. Además, un trabajador avezado puede saltarse esas limitaciones sin dificultad, frustrando el propósito del empresario.
Solución propuesta:
A nivel técnico.
Para controlar la productividad de los trabajadores se debe empezar por conocer en detalle las capacidades y alcance de los medios tecnológicos de la empresa. Entenderemos por Medios Tecnológicos cualquier dispositivo hardware o software que pueda estar implicado en el proceso de producción de la misma.
En líneas generales, recomendamos realizar un inventario de todos los medios tecnológicos propios de la empresa, identificarlos de manera unívoca y conocer sus capacidades.
Igualmente, se deberá crear y mantener un registro en que figure a qué trabajador se le ha asignado cada medio (ordenador, tableta, cuenta de correo, móvil, etc.).
A nivel legal. Cumplimiento normativo (Compliance).
Realizado tal inventario, se deberá asegurar tener correctamente implementadas las medidas en materia de Protección de Datos (que no serán objeto de este estudio) perfectamente adecuadas a la actividad de la empresa. Como sugerencia, estas medidas deberían orientarse conforme al Reglamento Europeo de Protección de Datos, que comenzará a aplicarse el 25 de mayo de 2018.
Previamente a la entrega o asignación de los medios tecnológicos, deberá notificarse a todos los trabajadores que:
1. Tales medios son propiedad exclusiva y excluyente de la empresa.
2. Está prohibido utilizarlos con fines privados (prohibición avalada por Tribunal Supremo, Constitucional, Europeo de Justicia y la Agencia de Protección de Datos).
3. Tales Medios pueden ser monitorizados por la empresa con fines de controlar la productividad y el regular funcionamiento de la misma, evitar la comisión de delitos, etc, en definitiva, asegurar la continuidad del negocio.

El cauce para notificar todo esto debe ser, obligatoriamente, un contrato específica y meticulosamente diseñado para no infringir ninguno de los derechos de los trabajadores y acorde a la jurisprudencia.
Pero no basta con firmar un contrato, sino que el empresario debe conocer las características de los medios tecnológicos y los límites legales y, en función de aquellos, disponer las medidas necesarias para que tales límites no se vean superados (niveles de usuario, controles de acceso, etc).
A este respecto, dado que cada empresa tiene un esquema de medios tecnológicos propio, requerirá un contrato confeccionado ad hoc, por lo que no es recomendable la fórmula del copy and paste. En la práctica se están dando casos donde la utilización de un contrato extraído de Internet, aplicado sin criterio en una empresa ha acabado en sanciones de la Agencia de Protección de Datos o, en los casos más graves, en sanciones penales por la comisión de delitos de violación del secreto de las comunicaciones.
Errores frecuentes: que “un contrato salva cualquier situación” o que “la tecnología por sí sola es suficiente”. El mejor contrato no sirve de nada sin un adecuado uso, configuración y control de los medios tecnológicos. Los mejores medios tecnológicos estarán fuera de la ley si no son correctamente auditados y adaptados al marco legal concreto (leyes y contratos). Las consecuencias podrían llegar a acabar con la empresa.
El contrato debe especificar, de manera muy concreta, qué medios tecnológicos se está poniendo a disposición del trabajador, qué actividades están prohibidas y cuales permitidas, enumerando unas reglas de uso claras y transparentes.
Intimidad del trabajador y control de medios tecnológicos. Límites.
El Tribunal Constitucional, en Sentencia de 7 de octubre de 2013, ha señalado claramente: no hay violación de la privacidad cuando la titularidad de la herramienta comunicativa es del empresario, el momento en que se utilice es la jornada laboral o se utilice el correo corporativo, además de que todo esto haya sido correctamente notificado al trabajador.
Limitaciones: ningún contrato puede suponer la renuncia a derechos fundamentales, pues tal renuncia sería nula y por tanto se tendría por no firmada.
Precaución: la Sentencia del Tribunal Supremo de 16 de junio de 2014, Sala de
lo Penal, señaló que el control por parte del empresario de los medios tecnológicos de la empresa no puede vulnerar el secreto de las comunicaciones, siendo necesaria la autorización judicial para acceder a material sujeto a tal secreto.
Aplicación práctica: ante un problema con un trabajador, la obtención de la prueba debe tener en cuenta estas premisas, so pena de incurrirse en un delito de violación del secreto de las comunicaciones. Por regla general, se entiende que ha existido violación (y por tanto un delito) en caso de accederse a un correo no abierto por el trabajador.
Cuestión técnica: demostrar que el correo intervenido fue leído, pero se devolvió al estado de “no leído”, requiere la adecuada obtención de la pertinente prueba, a cuyo fin ayuda la propia Sentencia al establecer que el secreto de las comunicaciones no abarca los datos de tráfico y los mensajes recibidos y abiertos por su destinatario, porque no forman parte de la comunicación. Los logs de registro juegan en este caso un importante papel, pero, siempre que nos encontremos ante un excelente dimensionamiento, configuración y control (tecnológico y legal) de los medios tecnológicos.
En todo caso deberá atenderse a que la obtención sea proporcional al fin perseguido, porque, por ejemplo, no haya otra medida más adecuada de obtención de pruebas, según la ocasión.
BYOD (Bring Your Own Device). Utilización de medios tecnológicos privados del trabajador para la actividad de la empresa.
Nos referimos al uso por parte del trabajador de sus propios dispositivos con aplicación laboral.
Regla genérica: Jamás se podrá acceder sin autorización judicial a tales medios tecnológicos (teléfonos móviles, ordenadores, tabletas, etc).
Sin embargo, no se considerará vulneración del secreto de las comunicaciones si el trabajador ha sido debidamente notificado, como se ha explicado anteriormente, y se ejerce control sobre una cuenta de correo (por ejemplo) que es propiedad de la empresa pero que ha sido configurada en el terminal propiedad del trabajador.
Una buena recomendación en este caso es que la empresa tenga correctamente diseñadas, explicadas y notificadas las reglas de uso de cuentas de correo de la empresa configuradas en terminales privados.
Y la mejor de las recomendaciones es actuar siempre con sentido común, proporcionalidad y responsabilidad.

Francisco Rico
Twitter: @Curro_Rico
Abogado especializado en Derecho Tecnológico y Seguridad Informática. Bufete MERCURE·HUB.

«Robolución» y Responsabilidad Social del sector TIC

/0 Comentarios/en /por

Es innegable que las cifras de negocio del sector de las TICs se han visto incrementadas en los últimos años, tanto en volumen como en actores implicados, siendo un relevante indicador económico de la globalización de los mercados, con la aparición en la última década de grupos empresariales de notable capacidad de influencia y decisión sobre todos los stakeholders, incluidos los organismos reguladores.

No parece tampoco cuestionarse el proceso expansivo de la llamada “robolución”, distinta a las anteriores revoluciones industriales por la velocidad y virulencia de sus cambios disruptivos, con efectos también en otras áreas como la agricultura, el transporte, la asistencia sanitaria, la seguridad o, en general, reconfigurando los servicios comunes de las ciudades (smatcities); también el sector legal, tanto en las técnicas del management de despachos, como en los contenidos de las áreas de práctica y formas de relacionarse con los clientes. Las amplias consecuencias de la “ola robótica-inteligencia artificial” se extienden hasta el ámbito público, abocado, parece al fin, por imperativo legal, a la transformación en verdadera administración electrónica.

En este contexto de grandes innovaciones, pero mayores incertidumbres, se detectan algunas paradojas (S. Zamagni) como el aumento de las desigualdades extremando  las diferencias entre clases sociales (Branko Milanovic); la creación de nuevas ocupaciones tecnológicas y el desempleo endémico (la categoría de los Not in Education, Employment or Training); o la destrucción del medio ambiente, con sus graves implicaciones en el desarrollo de generaciones futuras, respecto de las que la pujante actividad de las TICs no se encuentra al margen.

Una muestra del debate y preocupación por los importantes cambios actuales, es el ampliamente divulgado Informe del Parlamento Europeo con las recomendaciones a la Comisión sobre robótica, con propuestas como la creación de una personalidad electrónica, o un código ético para robots, y que reflexiona sobre los inmediatos impactos negativos, en particular, en la destrucción y precariedad del empleo y la difícil transición hasta que se haya consolidado el nuevo modelo productivo; advertencia para los países desarrollados formulada también desde otros organizaciones como las Naciones Unidas.

Ante estos tiempos de “modernidad líquida” (Z. Bauman), muchos son los que claman por superar el esquema del empresario, en particular el boyante TIC, obligado exclusivamente a no causar estrictamente perjuicios directos o indirectos según establezcan los mínimos de la legalidad aplicable. Así la evolución ideológica de la dirección estratégica ha caminado desde el individualismo libertario al personalismo; de la economía política (separada de la Ética y la Política) a la economía civil; del negocio bajo la premisa de la maximización de la ganancia (homo homini lupus) a ser un instrumento contribuyente del bien común (homo homini natura amicus).

En este último sentido, podemos destacar especialmente, entre las diversas estrategias y acciones recientemente adoptadas, los Diez Principios del Pacto Mundial de las Naciones Unidas, referentes a los derechos humanos, laborales, el medio ambiente y la lucha contra la corrupción;  los 17 Objetivos de Desarrollo Sostenible, el Acuerdo de París sobre el Cambio Climático, la Estrategia Española de Desarrollo Sostenible, por citar solo algunas, con multitud de líneas y planes de actuación, que sitúan a la empresa en el epicentro de las medidas que deben contribuir a paliar las desigualdades de la Revolución 4.0 y la mejora de la sociedad con la que interactúa.

Pero también deben enfatizarse las oportunidades y ventajas que supone la implicación en políticas y prácticas socialmente responsables, dando así respuesta a las demandas de transparencia de empleados, accionistas, proveedores y clientes, muchos dispuestos a pagar un extra por aquellos productos o servicios que provengan de compañías que han implementado programas que retribuyen a la sociedad; igualmente atendiendo a las expectativas de la ciudadanía digital y los grupos sociales interesados en conocer no sólo cómo se invierten los beneficios de los negocios, sino de dónde se obtienen; cooperando a la lucha contra la corrupción, la sostenibilidad ambiental y la solidaridad; o diferenciando los productos y servicios de otros competidores en los valores que se perciben en la reputación de la marca y en la organización que los produce o presta, con su compromiso con el entorno local y global del que forma parte.

Esos beneficios para las empresas responsables se expanden aún más al sector TIC, proclive a la internacionalización de sus negocios, donde es vital lograr organizaciones eficientes y rentables, mediante acciones que facilitan el acceso a mercados nacionales, con resultados de percepciones positivas reputacionales, lo que conlleva la atracción de inversores, partners, consumidores y talento laboral. Para ello se deben implementar políticas de aportación de valor, por ejemplo, en transparencia financiera y tributaria, rendición de cuentas, diligencia debida con proveedores locales, atención del cliente, inclusión de la diversidad y protección del medio ambiente (economía circular).

Desde el ámbito de la consultoría jurídica, con independencia de la recomendable y propia implicación, se abre la posibilidad de apoyar esa necesaria reorientación del negocio con servicios enfocados desde la perspectiva de integrar la responsabilidad social desde la misma estrategia corporativa. Como ejemplo de áreas de práctica en esta materia, dirigidas al sector privado, en especial el de las TIC y startups, pero también para las administraciones públicas, se pueden mencionar:

  • Guías para la acción empresarial y la implantación de los Principios del Pacto Mundial y Objetivos de Desarrollo Sostenible, elaboradas por Global Reporting Initiative, Pacto Global de las Naciones Unidas o el Consejo Empresarial Mundial para el Desarrollo Sostenible.

Estándares certificables:

  • IQnet SR10, basado en la Norma ISO 26000, los Principios del Pacto Mundial, los Convenios de la Organización Internacional del Trabajo, las directrices de la Unión Europea, etc.
  • SA 8000, para el establecimiento o la mejora de los derechos de los trabajadores y las condiciones del lugar de trabajo.
  • SGE 21 (Forética – España), para la gestión ética y socialmente responsable.
  • Sello BEQUAL (Fundación Bequal – España), referente en identificación y visibilidad de organizaciones socialmente responsables con las personas con discapacidad.

Subsistemas de gestión, para la implementación de determinadas actuaciones exigidas por los estándares anteriores, con ventajosa posibilidad de integrar los mismos en un marco de directrices comunes (Norma ISO 19600):

  • Prevención de riesgos penales: sistemas de gestión de compliance penal (Norma UNE 19601), sistemas de anticorrupción (Norma ISO 37001), prevención del blanqueo de capitales, seguridad de la información (Norma ISO 27001) y protección de datos personales.
  • Gestión ambiental (Norma ISO 14001) de la calidad (Norma ISO 9001).
  • Prevención de riesgos laborales (Norma OHSAS 18001).
  • Accesibilidad universal (Norma UNE 170001).
  • Legislación y prácticas de ámbito internacional, nacional, autonómica y local sobre transparencia y buen gobierno.
  • Memorias de sostenibilidad, bajo estándares como el Global Reporting Initiative, para aquellas organizaciones que desean o tienen la obligación de informar sobre los aspectos económicos, medioambientales y sociales de sus actividades, productos y servicios.

Todos los instrumentos anteriores tienen en común la necesidad de ser promovidos e impulsados en particular por los directores de responsabilidad social (dirses) que se constituyen como segunda línea de defensa de sus organizaciones y palanca de transformación empresarial, liderando los programas sociales y mejorando el engagement con los stakeholders; también en sintonía con las últimas tendencias en intangibles, que señalan como principales preocupaciones de los directivos la gestión de la confianza, la digitalización, la sostenibilidad o la transparencia mediante nuevas formas de comunicar, pasando del puro reporting al storytelling.

Es aquí donde los dirses deben trabajar junto con los compliance officers y otras funciones internas de la empresa, para asegurar y asumir la gobernanza del cumplimiento de todos los compromisos derivados de las políticas de responsabilidad social y la mitigación de restantes riesgos reputacionales.

En definitiva un importante reto para todos el de la “robolución” y a la vez una gran oportunidad, seguramente bajo la premisa machadiana de “repensar lo pensado y de saber lo sabido”.

Mauricio Rodríguez Bermúdez
Abogado – Codirector de “R&B = a+c”
www.rbac.es

¿Qué esperamos de la futura regulación de privacidad?

/0 Comentarios/en /por

Una de las preguntas más sonadas en los últimos tiempos es si necesitamos una ley mundial que proteja la privacidad en la red. La información de las personas que circula por Internet es más valiosa de lo que se puede pensar, por lo que no sería descabellado ver cómo en 2018 tenemos una regulación de la privacidad mundial.

La necesidad de una ley mundial que cuide nuestra privacidad en la red.

Redes sociales como Facebook, sin ir más lejos, han sido acusadas en muchas ocasiones de asaltar la privacidad de los usuarios. ¿Qué han hecho que se ha considerado tan grave? Compartir la información de algunos usuarios con empresas; es su modelo de negocio. Digamos que estas aplicaciones web nos ofrecen un servicio y se lo “pagamos” con nuestra información.

¿Preferirías pagar por usar Facebook o que sea gratis y a cambio la red social pueda hacer uso de tu información personal? En Internet, nuestra información es lo más valioso que tenemos y muchas personas se han cuestionado la posibilidad de pagar por conseguir esa protección legal de la información.

Estamos en un momento en el que la protección de la información es más importante que nunca y son muchas las compañías que guardan datos de los usuarios en Internet sin ningún control ni directrices.

Por tanto, necesitamos una legislación de Privacidad en la Red. Términos como privacy by desing and by default o el derecho al olvido se han hecho muy relevantes en los últimos años porque los usuarios queremos usar determinadas aplicaciones con total garantía de que no hay nadie detrás espiando o vendiendo nuestra información a terceros.

Es el momento de empezar a cambiar las cosas y regular expresamente la privacidad en Internet. Los usuarios tienen derecho a eliminar su información personal de cualquier página de Internet, no sólo si se considera intrusiva o molesta (derecho al olvido), sino también sin necesidad de alegar ningún motivo (un verdadero derecho de cancelación).

Los usuarios no son conscientes de la información que comparten.

Toda la información que compartimos en Internet queda registrada para siempre y será tratada, analizada, segmentada y utilizada por las grandes compañías (Big Data). Estas empresas trabajan con nuestra información para ofrecernos algo a cambio: anuncios en Facebook, productos que podrían interesarnos comprar en Amazon…

A nivel internacional, en los últimos años, se está haciendo hincapié en el hecho de crear nuevas normativas dirigidas a proteger nuestra información en la red. De esta manera, habría un control para las compañías que se hacen con la información de los usuarios.

Joseph Cannataci, primer relator especial de la ONU sobre derecho a la privacidad, considera que es el momento de proteger nuestra información por medio de una normativa, porque seguimos sin ser conscientes de todo lo que ciertas empresas pueden saber de nosotros. Entre sus declaraciones, compartía: “son necesarias nuevas reglas para asegurar nuestra privacidad. La mayor parte de las personas no es consciente de la cantidad de metadatos que genera cada día”.

Joseph Cannataci ya había criticado en muchas ocasiones la legislación de vigilancia de Reino Unido, y considera que es el momento de poner fin a esta situación y que no se vuelva a repetir, ya que es mucha la información personal que está en juego.

Incrementar la seguridad de los países no es vigilar constantemente.

Es importante tener claro que el hecho de incrementar la seguridad de los países, no tiene que ver con una vigilancia constante, lo suyo, es contar con distintos niveles de protección.

La seguridad es importante, pero no debe primar sobre la privacidad y, en todo caso, debe protegerse de manera acorde a la normativa vigente, que es la encargada de marcar los límites para estar protegidos ante cualquier tipo de situación.

Esta normativa internacional de privacidad es más que necesaria. Es la protección de un derecho que todas las personas tenemos y que las páginas web, herramientas online y aplicaciones web, deben aceptar, para cuidar nuestra información y no facilitarla de cualquier modo a terceros.

Es preciso por tanto, no solo una normativa más, sino una que otorgue una mayor protección y seguridad jurídica a los datos de los usuarios. Necesitamos sentirnos más seguros cuando navegamos por Internet, poder confiar y saber que nuestra información no está en manos de cualquiera.

¿Qué países están más avanzados en la regulación de la privacidad?

En estos momentos, dentro de la Unión Europea, tras la aprobación del Reglamento General de Protección de Datos, Alemania destaca como el país más avanzado hasta la fecha a la hora de implantar la nueva normativa. España, por su parte, le sigue de cerca.

Los cambios en la Ley Orgánica de Protección de Datos se llevarán a cabo pronto. Los últimos rumores ya hablan de una posible fecha para esto en marzo del próximo año para que se pudiera tramitar antes de mayo de 2018, fecha en la que entra en vigor el Reglamento europeo.

Abel Loeches Márquez
Abogado especializado en Derecho Digital
Twitter: @AbelLomar

Transformacion Digital Blockchain enaTIC

Transformación digital: Blockchain

/0 Comentarios/en /por

TRANSFORMACIÓN DIGITAL EN EL MUNDO JURÍDICO.

La transformación digital se está relacionando directamente con la implementación de nuevas tecnologías en entornos profesionales, económicos, sociales  o de la administración pública con el objetivo de mejorar la eficiencia en los procesos productivos o en los resultados en la prestación de servicios y generar nuevas oportunidades de negocio. Dicha transformación persigue la adaptación a un medio que puede parecer hostil para la mayoría de agentes jurídicos o incluso para una parte puede que sea percibido como una amenaza en la viabilidad de ciertos servicios por la irrupción de las tecnologías de la información y comunicación (TIC) en toda la sociedad.

Pero por sí sola la implementación de la tecnología no es suficiente, sino que como cualquier proceso de cambio se debe disponer de un plan estratégico que implique a toda la organización donde se disponga de una metodología que permita medir la evolución y establecer, por lo tanto, medidas y acciones de mejora, de manera que se aprovechen las nuevas herramientas al máximo para lograr los cambios deseados.

Metodologías como “Agile” o “Scrum”, muy conocidas en los entornos de startups TIC, pueden ser muy útiles como puntos de referencia en el ámbito jurídico con el fin de poder adaptarse al medio de forma inmediata y buscando soluciones en la forma de gestión de proyectos que requieren soluciones sin posibilidad de demora en un entorno como el digital. Siendo conscientes que el mundo jurídico sigue una velocidad muy distinta al entorno TIC y por tanto social, no por ello los agentes jurídicos debemos renunciar a dicha adaptación y búsqueda de la proximidad de nuestros servicios a los ciudadanos de la era digital.

Nos espera un 2017 con retos y por tanto oportunidades que, eso sí, de forma muy resumida, queremos mostrar a continuación haciendo una especial mención al fenómeno del “blockchain”:

“STARTUPS” TECNOLÓGICAS: NÁUFRAGOS EN EL OCÉANO JURÍDICO:

Durante el último lustro los temas tecnológicos más relevantes en el ámbito del Derecho Digital estaban (y siguen) relacionados la protección de datos, comercio electrónico, marketing digital, seguridad de la información, las “Startups”, la economía colaborativa, el “Open Data” y/o “Big Data”, “Cloud computing” y el “IoT” por sus siglas en inglés traducido al castellano como Internet de las cosas.

Actualmente todos estos términos nos resultan bastante familiares y en el presente año 2016 se han incluido en el debate temas basados en tecnologías claramente disruptivas como los coches autónomos, las inteligencias artificiales, los “smart contracts”, el Bitcoin (las criptomonedas) y con especial mención a la tecnología en la que se sustenta la criptomoneda: el “blockchain”. Este último está dando mucho que hablar debido a los múltiples usos que se le puede dar en el ámbito jurídico.

Todos estos cambios tecnológicos y nuevas aplicaciones basadas en estas tecnologías disruptivas, que en parte ya nos son más familiares, podrían contribuir a la búsqueda de la eficiencia y reducción de costes con una clara irrupción (positiva o negativa) en las políticas sociales, económicas y fiscales de la mayoría de países.

BLOCKCHAIN: LOS SMART CONTRACT

En los entornos financieros y jurídicos más especializados en Derecho Digital, los debates más intensos o los comentarios más esperanzadores son los relativos a “blockchain”, cuyos usos son tan variados que dan lugar a nuevas startups TIC vinculadas en su mayoría a las “Fintech” pero que no están circunscritas con carácter exclusivo al ámbito financiero, sino que podemos encontrar proyectos como la gestión de derechos de autor, los royalties o incluso ¿a quién no le suena que el blockchain podría sustituir a un notario? Esta idea hizo correr ríos de tinta y a los múltiples blogs sobre la materia nos remitimos[1].

Pero ¿Qué es Blockchain? Blockchain es la tecnología que sustenta al Bitcoin de allí que su concepción y explicación principal esté unida a la idea de ser un libro de contabilidad distribuido entre todos los nodos[2] participantes de la red. Es decir, una base de datos distribuida que registra bloques de información los encadena (enlaza) a través de apuntadores hash (un comprobador temporal) que conectan el bloque actual con el anterior hasta llegar a la génesis.

Además, facilita la recuperación de la información y verifica que esta no ha sido cambiada. Por lo tanto, aporta las cualidades de transparencia, inmutabilidad, descentralización e integridad de la información transmitida y almacenada en cualquier parte de la red. Sería como escribir en piedra con el problema que puede suponer el adecuado cumplimiento de normativas como la de protección de datos de carácter personal en lo que respecta a transferencias internacionales, las obligaciones de los responsables y encargados de tratamiento o en el ejercicio de derechos de sus usuarios, como  por ejemplo, el derecho de cancelación.

¿Cuál es el potencial del Blockchain?

Es inevitable todos nos preguntamos ¿Qué es eso tan interesante respecto a Blockchain que nos tiene a todos hablando de él?

El principal potencial de la cadena de bloques es prescindir de los terceros de confianza , constituyendo lo que llaman un medio seguro, rápido y económico. No obstante los terceros de confianza  sí podrían tener un papel aún más visible que el actual al ofrecer servicios de valor añadido utilizando la tecnología “blockchain” como por ejemplo un registro contable avanzado de fácil acceso para usuarios poco experimentados.

Y ¿un Smart Contract?

Los contratos inteligentes[3] suelen ser descritos como aquellos contratos que pueden ejecutarse por sí mismos cuando los valores predefinidos se cumplen, es decir, que se ejecuta de manera automática y autónoma.

A esto habría que añadirle que su principal característica es que se trata de un programa informático, con la particularidad de que una vez activadas las secuencias, comandos, instrucciones o indicaciones basadas en las condiciones reflejadas en el contrato, las partes no intervienen directamente en la ejecución de su cumplimiento, ya que de forma autónoma el contrato lo realizará por sí mismo.

Por este motivo en los foros jurídicos y tecnológicos más especializados se hace referencia al jurista de la era digital que dejará de redactar contratos para empezar a programarlos.[4] Por lo tanto la tecnología “blockchain” y el futuro de la seguridad en los negocios jurídicos deberán ir cogidos de la mano y colaborar para alcanzar el desarrollo fiable y legal de esta tecnología.

Importancia también por ello de la “Regtech” y la “Regulation by Design” que actualmente ambas se centran en el ámbito financiero pero que por un lado buscan en el diseño de procesos y la configuración de controles utilizando herramientas TIC, el cumplimiento normativo en tiempo real. Por lo tanto, cualquier tipo de tecnología que se desarrolle deberá pasar por la capa legal o normativa desde la concepción de la idea antes de su producción.

¿Cómo afectan ambos a la realidad financiera?

La capacidad de realizar de manera automática y autónoma un contrato sumada a las características de inmutabilidad y permanencia de la tecnología “Blockchain” aprovechan la incipiente y a la par creciente economía descentralizada que seguramente conllevará que tanto bancos como otras entidades financieras (así como  las empresas aseguradoras con las “insurtech”) decidan implementar este tipo de herramientas tecnológicas para reducir costes y elevar la eficiencia en todos los procesos.

¿Será inmediato?

Como objeto comercial normalizado, aún falta tiempo de desarrollo sin embargo hay grandes inversiones y proyectos en marcha por lo que si se cumple las expectativas generadas por “blockchain” podremos verlo de manera más generalizada a medio plazo, entendido por los expertos como dos o cinco años[5]. Plataformas como Ethereum[6] para desarrollar contratos inteligentes basados en esta tecnología, es un buen ejemplo que dichas expectativas puedan lograrse en un futuro inmediato.

EL “DIGITAL LAW COMPLIANCE”

Como hemos comentado en este post, “blockchain” es un tema, entre muchos otros, que está centrando muchos debates sobre la transformación digital en nuestra sociedad. Pero sin limitarnos a ello, nos espera un panorama lleno de retos para el mundo jurídico, cuyo avance de la tecnología se está realizando a pasos agigantados. Por ello debemos estar a la vanguardia de estos cambios, preparados para dar respuesta a nuevos  dilemas jurídicos que se convertirán en nuevas oportunidades en los próximos años.

Todo ello supone la necesidad de capacitarnos para hacer frente a un seguimiento y análisis continuo de toda la normativa que pueda afectar al desarrollo de tecnologías tan disruptivas como el “blockchain”. Por lo tanto los servicios jurídicos de cumplimiento normativo (“legal compliance”) serán cada vez más necesarios para estos escenarios al tener que implementar una metodología que permita una mejor gestión de los riesgos legales y la posibilidad de cumplir con las diversas normativas de una forma continua en el tiempo.

Por lo tanto, el abogado digital tendrá la oportunidad de demostrar su protagonismo como un importante agente precursor en el ámbito jurídico de la transformación digital de la sociedad así como impulsor del crecimiento de la economía digital. Este 2017 tiene todos los ingredientes para que sea un año en el que el abogado digital sea el compañero de viaje perfecto en la transformación digital de las empresas y administraciones públicas además de ser guía en la búsqueda de un crecimiento económico sostenible basado en la cooperación y la innovación potenciando las sinergias entre el sector público y privado.

 

Autores del post:

Marelisa Andrea Blanco Pérez*
Abogada.
Asociada de ENATIC
Twitter: @MarelisaBlanco

Eduardo López-Román*
Abogado especializado en Derecho Digital
Socio fundador de ENATIC
Twitter: @EduLawyer

*Los autores forman parte del Grupo de investigación sobre Fintech y Economía Digital de la Comisión I+D+i de ENATIC. Si eres asociado y quieres participar en este grupo, escribe un email a lab@enatic.org

[1] https://www.notariofranciscorosales.com/notarizar-con-blockchain/

[2] En el caso de Blockchain cada nodo es un ordenador que participa en la red, cada punto terminal de una red, o cualquiera de sus intersecciones https://es.wikipedia.org/wiki/Nodo_(informática)

[3] https://es.wikipedia.org/wiki/Contrato_inteligente

[4] http://replicantelegal.com/deben-los-abogados-aprender-a-programar/

[5] http://www.coindesk.com/deloitte-invests-first-blockchain-startup/

[6] https://www.ethereum.org/

Uso de Whatsapp entre abbogados y clientes - LOPD

¿El uso de whatsapp entre abogados y clientes se puede considerar adecuado a la LOPD?

/0 Comentarios/en /por

Recientemente, whatsapp ha actualizado su política de privacidad, introduciendo en la misma el aviso de que los principales datos de identificación del usuario van a ser compartidos por las empresas del grupo Facebook y añadiendo los usos que pueden hacer de los datos personales del usuario.

El usuario recibe una notificación que debe aceptar o rechazar dentro de un plazo, invitándole a que, si no acepta la política, puede dejar de usar la app.

Ello nos mueve a reflexionar si el uso masivo que se está realizando en la actualidad de esta herramienta se adecua a la normativa sobre protección de los derechos a la privacidad existente en nuestro país, especialmente desde el punto de vista de su uso profesional entre los abogados y sus clientes.

Whatsapp como responsable del tratamiento de datos personales

Mediante el uso de whatsapp entre abogado y cliente se está produciendo un tratamiento de datos personales. Whatsapp es un servicio de mensajería con el cual los usuarios pueden intercambiar mensajes de texto y archivos de tipo imagen, vídeo y audio. Whatsapp, para su funcionamiento, utiliza la conexión a Internet del usuario y en el momento en que se instala en un terminal, la plataforma accede a todos los teléfonos de contacto almacenados en este terminal, tanto si estos tienen instalado o no Whatsapp. Es decir, la app lee los números de teléfono de la agenda del usuario para comprobar quienes están registrados en Whatsapp. Los contactos que también dispongan de whatsapp aparecen en la lista de favoritos y en la pantalla de chats de la App.

La Ley Orgànica 15/1999, de 13 de diciembre, debe aplicarse a cualquier tratamiento de datos de carácter personal que se realice en territorio español, así como cuando el responsable del tratamiento no está establecido en territorio de la UE pero utiliza, para tratar los datos personales, medios situados en territorio español.

Sin perjuicio de que en el funcionamiento de este tipo de Apps puede existir diferentes grados de responsabilidad, en el caso que nos ocupa el responsable del tratamiento será la empresa responsable de la explotación comercial de la misma. Esta empresa decide qué tipo de tratamiento realizan de los datos de los usuarios que desean utilizar su app y establecen las condiciones de uso de su app en su página web (“Terms of service”). Así pues, Whatsapp es responsable del tratamiento de datos de los usuarios, a los efectos del art. 3.d) de la LOPD.

Por lo que concierne a nuestro análisis, destaca en sus condiciones de uso publicadas que el usuario que se instala la app se obliga a someterse, en caso de cualquier conflicto legal, a la jurisdicción de California y, de existir desacuerdo entre el usuario y Whatsapp, la normativa aplicable no sería la española, resultando, además, que el acuerdo entre el usuario y la empresa se determina a exclusivamente en dichas clausulas y en la política de privacidad de la misma web. Ello conlleva la exclusión por parte de la empresa de cualquier otra normativa y, en este caso, la europea, en su relación con los usuarios de la app.

El tratamiento de datos entre abogado y cliente por medio de Whatsapp

Un abogado realiza un tratamiento de datos personales con sus clientes que, sin duda, no puede considerarse meramente doméstico (art. 2.a LOPD) para que pudiera estar excluido de la aplicación de la LOPD. El abogado es responsable de determinados ficheros de datos (art. 3.b LOPD) en los que puede tratar información personal de sus clientes. En este sentido el abogado tiene la responsabilidad directa del tratamiento de los datos de sus clientes, que incluye elegir el canal de comunicación más adecuado con los mismos.

Teniendo en cuenta que un dato personal es cualquier información relativa a personas físicas identificadas o identificables (art. 3.a LOPD), la información personal que se trata, cuando se utilizan las apps de mensajería instantánea, deberá ser protegida por la LOPD, puesto que tal como indica el Considerando 24 de la Directiva 2002/58/CE, “los equipos terminales de las redes de comunicaciones electrónicas, así como toda la información almacenada en estos equipos, forman parte de la esfera privada de los usuarios”

Con el uso de las apps de este tipo se produce una comunicación entre dos personas físicas (usuario y contacto), de forma que no solo se tratan los datos del usuario, sino también los de sus contactos. Por otro lado, además de la información personal que pueda figurar en los mensajes de texto, también se tratan archivos adjuntos, como por ejemplo fotografías.

Aun cuando Whatsapp indica en sus condiciones que no recopila nombres, emails, direcciones u otros datos de contacto más allá de los números de teléfono móvil de la lista de contactos, debe tenerse en cuenta que la foto de perfil, el estado del usuario y la fecha y hora de la última conexión, es información personal accesible a cualquier usuario de la plataforma.

Por todo lo que se ha indicado, deberá concluirse que el uso de una app de mensajería instantánea como Whatsapp, en el marco de la relación abogado-cliente puede generar un tratamiento de datos personales del propio abogado, de sus clientes, en el caso que estos se encuentren en la lista de los contactos del teléfono que utiliza el abogado y, hasta, de terceras personas, de las cuales pueda darse información en un mensaje transmitido o en un archivo que se adjunta al mensaje, como podría ser una fotografía, que han de quedar protegidos por la normativa de protección de datos.

En este sentido cabe destacar que Whatsapp, ha mejorado sus medidas de seguridad, mediante la reciente encriptación del contenido de los mensajes intercambiados.

El consentimiento del usuario para el tratamiento de los datos.

Cualquier tratamiento de datos personales ha de disponer del consentimiento previo del titular de los datos (art. 3.e LOPD), a menos que este no sea exigible (art. 6 LOPD). Este consentimiento o la habilitación legal, si procede, es la base jurídica que permite a una app y a los diferentes responsables que intervienen, tratar datos personales del usuario de la app.

En el caso de la app que analizamos, se incluyen las condiciones de su uso en su página web, las cuales pueden ser modificadas de forma unilateral y no dejan margen de opción al usuario, más allá de aceptar o bien no utilizar la app.

En la reciente actualización se informa al usuario que Whatsapp podrá compartir los datos del usuario con las empresas del grupo Facebook, lo que, inicialmente es opción del usuario, aceptar esta comunicación de datos.

Sin poder entrar en más consideraciones relativas a la seguridad de los datos objeto de tratamiento, por mor del espacio de este artículo, habrá que concluir que, sin duda, el abogado tiene la responsabilidad que le otorga la LOPD, como responsable del tratamiento de los datos de sus clientes, que incluye la elección de los canales de comunicación más adecuados para cumplir con las exigencias legales de protección.

Atendiendo a las consideraciones efectuadas y además, a que en el contexto de la relación entre abogado y clientes puede ser frecuente el tratamiento de datos sensibles (art. 7 LOPD), no resultaría recomendable, en mi opinión, el uso de Whatsapp, en la relación entre abogado y cliente.

Pere Rius Alonso
Abogado
Socio Director de TICJURIS ADVOCATS, S.L.P.
Asociado a ENATIC
www.ticjuris.com

Grupos escolares de WhatsApp y la prohibición de comunicación

Prohibición de comunicación y los grupos escolares de WhatsApp

/0 Comentarios/en /por

Como hago en la totalidad de mis post voy a escribir sobre un supuesto real vivido en el ejercicio de mi profesión como abogado en el que se combinan los temas legales con el uso de las nuevas tecnologías.

En concreto voy a exponer algunas reflexiones personales sobre la posible existencia de delito de quebrantamiento de condena ante una orden de prohibición de comunicación impuesta por sentencia judicial siendo el supuesto de hecho el incumplimiento de la prohibición a través del uso de las nuevas tecnologías, en concreto mediante el uso de la aplicación de mensajería WhatsApp.

La irrupción de la comunicación mediante mensajería instantánea (whatsapp) ha supuesto un cambio en la forma y manera en la que nos comunicamos unos con los otros y por ende, supone también una nueva forma de cometer los delitos.

Para que este post tenga sentido para el lector, de partida debo plasmar el supuesto de hecho, describir los necesarios. 

1.-Antecedentes:

Progenitor con hijos menores, condenado por sentencia firme por delito de violencia de género con orden de alejamiento y prohibición expresa de no comunicación respecto de su ex cónyuge, que es integrado en grupo de WhatsApp escolar creado al efecto por el profesor tutor del centro escolar como medio de facilitar las relaciones tutor-padres.

Unos meses antes de dicha inclusión en el indicado grupo (que es solicitada por el propio condenado), se había realizado una modificación de las medidas en vía civil que regulaban el  régimen de visitas y estancias del progenitor (condenado) con respecto a sus hijos menores en el que expresamente, y como medio para facilitar a este la adecuada relación padre-tutores, se le concedía y ampliaba el régimen de estancias los fines de semana.

En este caso ampliaba la recogida a los viernes desde la salida del centro escolar y se ampliaba el retorno a los lunes por la mañana que los reintegraba al centro escolar al que asistían los menores para poder favorecer  el contacto más directo con los tutores de sus hijos.

El centro escolar es perfecto conocedor de la existencia de la orden de alejamiento impuesta y de la prohibición de comunicación existente, a pesar de la comunicación realizada a tal efecto el susodicho omite salir del grupo, alegando que la comunicación no se realiza de forma directa y exclusiva entre ambos.

Además alega a su favor que la guardia civil le ha manifestado expresamente que siendo un grupo de whatsapp escolar no tiene porque abandonarlo ni se puede considerar que incumpla prohibición legal alguna.

2.- Opiniones Generadas:

Debo reseñar que este hecho fue fruto de un interesante debate abierto entre un grupo de abogados tecnológicos de mi provincia y con los que comparto opiniones, siendo las mismas dispares.

Por alguno de mis compañeros se opinaba que ante todo debe primar el ejercicio de la patria potestad y sus derechos como progenitor y que dicha pertenencia al grupo escolar no vulneraba los derechos ni intereses de la victima. Alegando que si era el medio empleado por el colegio para realizar las comunicaciones no se podía discriminar al progenitor condenado.

Otros, entre los que me incluyo alegábamos que la protección de la victima debía ser lo primero y que en el presente supuesto se habían facilitado medios adicionales para facilitar la relación padre-tutor (de hecho se había ampliado las recogidas y entregas precisamente y específicamente plasmado en el convenio de modificación para facilitar la directa relación tutor/es-padre), la pertenencia al grupo de WhatsApp no era el único medio de comunicación con el tutor (era un medio adicional no necesario) y su pertenencia, con el relato de hechos reseñado amedrentaba el ánimo de la victima.

Y bien,  tras haber expuesto los antecedentes, ¿que opináis? ¿Consideráis que existe incumplimiento? ¿Estamos dentro del supuesto  del tipo penal del artículo 468 de nuestro código penal, quebrantamiento de condena por incumplir la prohibición de comunicación?

Según las manifestaciones recibidas de la perjudicada, victima del delito, cada vez que su ex cónyuge escribía en el meritado grupo un escalofrío le recorría el cuerpo, se volvía a sentir insegura, intimidada y observada por su ex cónyuge.

El simple hecho de saber que estaba en el mismo grupo de WhatsApp le provoca malestar, pensaba que en cualquier momento iba a recibir algún tipo de comentario vejatorio (como había sufrido y por los que había sido condenado).

La misma se veía intimidada a la hora de utilizar el referido medio de comunicación con el tutor de uno de sus hijos por miedo a que el condenado se dirigiera a ella, de hecho, cada vez que ella realizaba un mínimo comentario su ex cónyuge realizaba al instante algún comentario paralelo o similar, “apuntillaba” aunque no directamente dirigido a ella si relacionado, siendo su única intención intimidar y recordar a su ex cónyuge que la vigilaba.

Tras lo expuesto por mi parte me atrevo a compartir la siguientes

3.- Conclusiones:

Existe variada jurisprudencia al respecto, si bien no he dado con una sentencia similar a los hechos descritos,  en la mayoría de los supuestos la comunicación es de forma directa (bien a remitido un mensaje directo entre emisor y receptor con la única participación de dos personas, un video, o una llamada), pero nada respecto de grupos de mensajería instantánea.

En nuestro supuesto nos encontramos con comunicaciones realizadas en el seno de un grupo de padres a través de la aplicación de mensajería WhatsApp.

A este respecto no podemos olvidar que la mensajería instantánea aunque su funcionamiento sea a través de internet, sigue siendo una comunicación entre dos o más personas que por sus características comparte la naturaleza de las comunicaciones telefónicas y en consecuencia, debe ser tratada como tal a la hora de tipificar la infracción.

Y aún en el caso de grupos, sus destinatarios son concretos en identidad y determinados y limitados en número, cualquiera que realiza una comunicación en un grupo de WhatsApp es consciente de que la dirige a cada una de sus miembros, en consecuencia, sigue siendo una comunicación directa aunque con una pluralidad de receptores.

En consecuencia, desde mi modesta opinión, cada vez que el condenado enviaba  una comunicación en el citado grupo, incumplía la citada prohibición de comunicación y se cumplían  los elementos que integran este tipo penal, dándose el supuesto delictivo.

Llegados a este punto, os estaréis preguntando, ¿como se resolvió este asunto? Que pronunciamiento se obtuvo?

4.- Resultado final:

Me quedé con las ganas, sinceramente aunque a nivel profesional  me invadía la curiosidad de denunciar y obtener un posible pronunciamiento favorable, en este supuesto como en otros muchos en los que nos ocurren a muchos abogados, decidí primar la relación paterno filial y evitar echar más leña al fuego, denunciar hubiera aumentado más, los conflictos entre los progenitores.

En supuestos como el que relatamos las relaciones entre progenitores están totalmente destruidas y el menor resquicio sirve de excusa para iniciar una nueva guerra legal con el desgaste emocional y económico que ello conlleva.

Valorando los riesgos decidimos que mientras no hubiera un mensaje directo, que por su contenido resultara claramente intimidatorio, insultante o vejatorio a mi representada y siempre que la comunicación por dicho medio fuera mínima y siempre como objeto del ambiente escolar, era mejor no  denunciar y evitar echar más gasolina a una relación ya de por si incendiaria.

A pesar de ello, sigo pensando que la actuación descrita era merecedora de condena, si eres compañero y has tenido algún pronunciamiento similar, por favor, me encantaría saber que fallo obtuviste o por lo menos, saber tu opinión.

 

Javier González González
Abogado-Director Legal de Defensa Digital
www.defensadigital.es
@gonzgonz_javier

¿Cómo regular la economía colaborativa?

/0 Comentarios/en /por

El auge de los nuevos negocios digitales enmarcados en la llamada economía colaborativa ha traído consigo una gran incertidumbre sobre la regulación que ha de aplicarse a este fenómeno imparable, y las autoridades de los distintos países europeos están abordando este asunto de forma fragmentada, aplicando medidas diversas respecto de la actividad de compañías como Uber, Airbnb o BlaBlaCar.

Recientemente, la Comisión Europea ha arrojado algo de luz a través de una Comunicación presentada el pasado 2 de junio, dando un nuevo impulso al desarrollo de la sharing economy.

Bajo la rúbrica “Una Agenda Europea para la economía colaborativa”, la Comunicación presenta una serie de orientaciones y recomendaciones a los Estados Miembros sobre cómo afrontar los retos y aprovechar las oportunidades que presenta este nuevo modelo económico, haciendo hincapié su potencial para contribuir al crecimiento y la creación de empleo en la Unión Europea, así como en los considerables beneficios que puede suponer para emprendedores, empresas y consumidores. Es decir, se trata de sentar las bases para crear un futuro entorno regulatorio que favorezca su desarrollo, si bien con garantías para los consumidores y condiciones equitativas a nivel fiscal y laboral.

Así, la Comunicación proporciona unas directrices (no vinculantes) para la aplicación consistente de las normas existentes a estos nuevos modelos de negocio, aclarando algunos de los aspectos que mayor conflicto vienen causando entre los operadores tradicionales y los prestadores de los nuevos servicios colaborativos.

En cuanto a las condiciones de acceso al mercado, la Comisión estima que la exigencia de autorizaciones o licencias sólo debería imponerse cuando resulte «estrictamente necesario» por razones de interés público y las prohibiciones absolutas de actividad, únicamente como último recurso.

Además, a la hora de imponer estos requisitos a las plataformas colaborativas, los Estados Miembros deberían tener en cuenta la naturaleza de las actividades a las que se dediquen y de los modelos de negocio, sin favorecer unos frente a otros y distinguiendo entre las plataformas que prestan el servicio de que se trate y las que actúan como meros intermediarios así como entre los particulares que prestan servicio de forma ocasional y los operadores que realizan una prestación de servicios de manera profesional (por ejemplo, estableciendo umbrales de nivel de actividad).

La Comisión recomienda también que se revisen, simplifiquen y modernicen las condiciones de acceso que suelen imponerse a los operadores del mercado, liberando a éstos de cargas regulatorias innecesarias con independencia del modelo de negocio que hayan adoptado.

Otro aspecto analizado en la Comunicación es el régimen de responsabilidad que debería aplicarse a las plataformas colaborativas, que deberá determinarse caso por caso, en función del servicio que presten.

Así, cuando las plataformas tengan la condición de intermediarios digitales, podrá resultar de aplicación la exención de responsabilidad prevista en la Directiva de Comercio Electrónico (transpuesta al Derecho español por la LSSI), conforme a la cual, en determinadas circunstancias no responderán por la información que alojen en nombre del que ofrezca un bien o servicio[1]. Indica la Comisión que el hecho de realizar verificaciones de forma voluntaria u ofrecer actividades complementarias, como servicios de pago o rating, no significa necesariamente que la plataforma esté asumiendo un rol activo y que no pueda beneficiarse de la exención de responsabilidad.

En cualquier caso, las plataformas colaborativas deberán responder por los servicios que ellas mismas ofrezcan, como los servicios de pago. La Comisión anima, además, a que se sigan realizando acciones voluntarias dirigidas a combatir los contenidos ilegales en Internet y a aumentar la confianza online.

La Comisión parte de la base de que debe garantizarse un alto nivel de protección a los consumidores, especialmente frente a las prácticas comerciales desleales y abusivas.

Sin embargo, la economía colaborativa ha venido a desdibujar las líneas tradicionales entre consumidores y empresas, puesto que los modelos de negocio abarcan todo tipo de transacciones y relaciones: business-to-business (B2B), business-to-consumer (B2C), consumer-to-business (C2B) y consumer-to-consumer (C2C).  De esta manera, para determinar cuáles son los derechos y obligaciones de las partes y si la normativa de consumo resulta aplicable, es preciso analizar si los proveedores de servicios colaborativos y los usuarios son consumidores y/o empresarios.

La Comisión insta a los Estados Miembros a no imponer obligaciones de información desproporcionadas ni otras cargas administrativas a aquellos particulares que, sin ostentar la condición de comerciantes, presten servicios de forma ocasional.

Asimismo, recomienda la utilización de mecanismos de confianza online, como las etiquetas de calidad o los sistemas de valoración online, con el fin de incrementar la confianza y credibilidad de los usuarios de Internet y, así, fomentar que se sientan más seguros al utilizar los servicios peer-to-peer.

La Comisión también formula recomendaciones en materia laboral. Uno de los aspectos más controvertidos que se han venido planteando con el auge de estos modelos de negocio ha sido el determinar si existe una relación de empleo entre una plataforma colaborativa y una persona que preste servicios a través de la misma, es decir, si esta última tiene la condición de trabajador. Esto deberá dilucidarse en cada caso concreto.

Y, si bien el Derecho laboral es, en gran medida, competencia de cada Estado Miembro a nivel nacional, la Comunicación hace referencia a algunos criterios generales que pueden tenerse en cuenta a estos efectos. Por ejemplo, la relación de subordinación a la plataforma, la naturaleza del trabajo o la remuneración. Se recomienda a los Estados Miembros que evalúen la adecuación de sus normas laborales teniendo en cuenta las distintas necesidades de los trabajadores y autónomos en el entorno digital y la naturaleza innovadora de los modelos colaborativos. Asimismo, deberían orientar sobre la aplicabilidad de la legislación laboral nacional a la luz de los patrones de empleo presentes en la economía colaborativa.

En cuanto a la fiscalidad, las plataformas y proveedores de servicios de la economía colaborativa deben pagar impuestos, como cualquier otro agente económico: IRPF, Impuesto sobre Sociedades, IVA, etc. Por ello, se anima a las plataformas a colaborar con las autoridades para registrar la actividad que realizan y facilitar la recaudación. Asimismo, se invita a los Estados Miembros a aclarar y simplificar la aplicación de la normativa fiscal a la economía colaborativa, recomendando la aplicación de normas similares a empresas que presten servicios comparables en cada territorio y la reducción de la carga administrativa vinculada la recaudación de impuestos.

Sobre esta base, la Comisión invita a los Estados Miembros a revisar las legislaciones nacionales de conformidad con estas recomendaciones.

Mientras en España, donde la actividad de empresas como Uber, Cabify o BlaBlaCar ha sido llevada ante los tribunales, seguimos a la espera de la aprobación definitiva del informe de la CNMC sobre la sharing economy.

A finales de 2014, en el marco de un estudio para analizar esta nueva realidad, la CNMC lanzó una primera consulta pública sobre los nuevos modelos de prestación de servicios y la economía colaborativa. El fin del estudio es realizar una serie de propuestas y recomendaciones para lograr un desarrollo regulatoriamente eficiente de estos nuevos modelos de negocio.

El pasado mes de marzo se publicaron las conclusiones preliminares (sometidas también a consulta pública) donde la autoridad consideraba necesario revisar y adaptar la regulación existente y resaltaba la importancia de que la intervención regulatoria, en su caso, se basase en los principios de regulación económica eficiente, posibilitando el desarrollo de los nuevos modelos económicos y la eliminación de restricciones innecesarias y desproporcionadas. Sobre esta base, se formulaban una serie de recomendaciones preliminares, poniendo especial foco en dos sectores especialmente controvertidos en España, el transporte y el alojamiento vacacional.

Pero estas propuestas iniciales no vinieron exentas de polémica. Y no solo por la frontal oposición de los sectores económicos tradicionales sino también por los rumores de enfrentamiento en el propio organismo regulador.

Ahora cabría esperar que, sin perjuicio de los resultados de la segunda consulta, el informe final de la CNMC tenga en cuenta las directrices de la Comisión Europea, propiciando un marco regulatorio que favorezca el desarrollo adecuado de la economía colaborativa en España.

Sofía Fontanals de Miguel
Abogado Olswang Spain
Asociada de ENATIC

[1] Conforme al artículo 14 de la Directiva de Comercio Electrónico, «[…] cuando se preste un servicio de la sociedad de la información consistente en almacenar datos facilitados por el destinatario del servicio, el prestador de servicios no pueda ser considerado responsable de los datos almacenados a petición del destinatario, a condición de que: a) el prestador de servicios no tenga conocimiento efectivo de que la actividad a la información es ilícita y, en lo que se refiere a una acción por daños y perjuicios, no tenga conocimiento de hechos o circunstancias por los que la actividad o la información revele su carácter ilícito, o de que, b) en cuanto tenga conocimiento de estos puntos, el prestador de servicios actúe con prontitud para retirar los datos o hacer que el acceso a ellos sea imposible.» La jurisprudencia, además, ha confirmado que para que opere esta exención de responsabilidad, el prestador no debe tener un rol activo, sino que su conducta debe ser meramente técnica, automática y pasiva.

RGPD e información: ¿más es menos?

/0 Comentarios/en /por

Si se hiciera una encuesta a pie de calle sobre a qué sugieren las expresiones “Privacidad” o “Protección de datos”, probablemente los interrogados harían referencia a “esas cláusulas tan largas que he visto en algunos contratos”, “un papel que me dieron a firmar en tal o cual sitio”, “eso que te ponen en las webs cuando rellenas un formulario”, “eso que decían que iban a hacer con mis datos en no sé qué app”….

Es cierto, esta afirmación no tiene una base estadística ni parte de ninguna investigación, pero creo que estaremos de acuerdo en que no voy desencaminado si digo que para el común de los mortales una de las principales, si no la principal, expresión tangible de la Privacidad y la Protección de datos son las innumerables cláusulas y políticas sobre la materia que (afortunadamente) pueblan contratos, documentos, webs, apps…

Ahora bien, la puesta en práctica del Principio de Información, pilar primigenio y permanente de la Protección de datos, siempre ha adolecido y aun adolece de una sensación más o menos habitual de que la comprensibilidad de dichas cláusulas y políticas a veces no es la que debiera.

En muchas ocasiones, se perciben las cláusulas y políticas de Protección de datos y Privacidad como un texto que oculta más de lo que dice, que utilizan el lenguaje (jurídico o no) como barrera, que carecen de empatía y no toman en consideración las diferentes audiencias a que se dirigen, cuya enorme extensión está más dirigida a evitar su lectura que a promover su fácil comprensión, etc.

Frente a esa sensación de la que hablaba debíamos esperar una reacción, y si hablamos de Privacidad y Protección de datos, deberíamos esperar que el Reglamento General de Protección de Datos (quien no sepa de su larga y tortuosa gestación, su publicación, su entrada en vigor y su futura aplicabilidad…, igual está leyendo el post equivocado), sea la luz, la guía y la claridad para todo y para todos (si alguien aprecia una sutil ironía…, no me he expresado bien porque no pretendía ser sutil…).

En este sentido, el bálsamo de Fierabrás, perdón, el Reglamento General de Protección de Datos, dice en su Considerando 39 de forma tan elocuente, como contundente que: “Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro.”

En esta misma línea se expresa el Considerando 60, cuando dice que “Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales.”

La traducción en regulación aplicable (en 2018, claro), de estos considerandos se contiene principalmente en los artículos 12, 13 y 14 del Reglamento. Y es ahí donde está el reto o quizá la paradoja. Una lectura de tales preceptos, sin entrar en interpretaciones sino con la mera literalidad, hace presumir que la regulación propuesta quiere alcanzar los objetivos de transparencia, inteligibilidad y fácil acceso, con cláusulas y políticas de privacidad y protección de datos realmente detallistas, profusas, precisas…., y por tanto presumiblemente largas.

 ¿Se quiere dar a entender que cuanto más se expliquen las cosas y cuanta más información se dé, mejor informado va a estar el titular de los datos? Si el problema es que los interesados no se leen las cláusulas y políticas por lo largas que son, si el problema es que los interesados no tienen la información de base para conocer de qué se les está hablando, ¿puede ser la solución “lanzarles” algo más grande? La aproximación de más es mejor tiene un riesgo cierto de que más sea menos y por tanto, el fin último del principio de información no se alcance.

Frente a unos requisitos sin duda detallistas (y sin entrar en la falta de empatía con el lector a la hora de elegir el lenguaje de cláusulas y políticas), propone el artículo 12 el uso de iconos: “7.La información que deberá facilitarse a los interesados en virtud de los artículos 13 y 14 podrá transmitirse en combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente. 8.La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 92 a fin de especificar la información que se ha de presentar a través de iconos y los procedimientos para proporcionar iconos normalizados.”

Desde luego que apoyo al 100%, y me quedo corto, la opción de los iconos, las realidades del mundo digital en que todos nos movemos apuntan a esta opción como una de las de mayor éxito. Pero son varios los aspectos que deben preocuparnos sobre la aproximación al tema de los iconos que hacen el Reglamento, al menos.

  • Han de usarse “en combinación”, con las cláusulas y políticas, ¿antes? ¿durante? ¿después? Y sobre todo, ¿para que poner iconos autoexplicativos si tenemos que acompañarlos de aquello a que se refieren?
  • Si están en formato electrónico deberán ser legibles mecánicamente. Perfecto, pero como hay que usarlos “en combinación”, con las cláusulas y políticas, ¿todo debe ser susceptible de ser legible mecánicamente?
  • Y la principal cuestión…, nada sabremos con certeza sin un acto delegado que diga “me gustan X iconos presentados de la manera Y”. ¿Se está imposibilitando que el mercado, los usuarios, los interesados…, elijan la opción que más les gusta de las que se les propongan? ¿Se está poniendo trabas a la autorregulación en un tema crítico?

Quedan muchas cosas sobre las que debatir y que interpretar en el Reglamento General de Protección de Datos. Pero creo que sin duda la relativa al Principio de información, a la transparencia de dicha información, debe ser tratada con especial anticipación e intensidad, porque afecta a aquellos elementos que conectan de manera directa a la Privacidad y Protección de datos con aquellos a quienes protege, aquellos cuyos datos son tratados y que deben ser informados de los tratamientos a través de la correspondientes cláusulas y políticas…, y sus iconos.

 

Francisco Javier Carbayo
Abogado
Socio de DELOYERS
javier@deloyers.com
deloyers.com
@fjcarbayo
es.linkedin.com/in/franciscojaviercarbayo/