Entradas

Cartel del Privacy Day de ENATIC con el texto “Datos personales en la era de la IA”, anunciando el webinar sobre protección de datos e inteligencia artificial celebrado el 27 de enero de 2026.

Privacy Day: Datos personales en la era de la IA

/0 Comentarios/en /por

Con motivo del Día Internacional de la Protección de Datos, ENATIC celebra una nueva edición de su Privacy Day, que centraremos este año en el análisis de la protección de los datos personales en la era de la inteligencia artificial, en un contexto de profunda transformación tecnológica y regulatoria.

Hemos planteado una sesión concebida como espacio de reflexión, orientada a compartir criterio experto, contrastar posiciones y anticipar el impacto que los últimos avances tecnológicos están teniendo y tendrán sobre el derecho fundamental a la protección de datos.

¿Por qué asistir?

Consideramos esencial abrir un debate en un contexto de revisión y ajuste del marco regulatorio europeo, en el que se está buscando un encaje coherente del RGPD con el resto del paquete normativo digital. En este escenario, resulta necesario reflexionar sobre el papel de la protección de datos en el desarrollo y uso de sistemas de inteligencia artificial, desde una perspectiva centrada en la persona y en los derechos fundamentales.

Programa

18:00 – 18:10 | Apertura

18:00 – 18:05
Inauguración
Belén Arribas Sánchez. Presidenta de ENATIC

18:05 – 18:10
Introducción
Rodolfo Tesone Mendizabal. Presidente emérito de ENATIC

Primera mesa redonda (18:10 – 18:40)

Moderación: Belén Arribas. Presidenta de ENATIC

HoraPonenciaPonente
18:10 – 18:25¿Es reconciliable el ejercicio del Derecho al Olvido con los LLMs de IA Generativa?José Leandro Núñez García.
Secretario General de ENATIC
18:25 – 18:40Privacidad y Derechos Digitales: Tendencias internacionales y retos 2026Eduardo López-Román.
Vicepresidente de ENATIC

Segunda mesa redonda (18:40 – 19:10)

Moderación: Belén Arribas. Presidenta de ENATIC

HoraPonenciaPonente
18:40 – 18:55Cuestiones de privacidad en el escándalo de los deepfakes en GROK ImaginePablo Sáez Hurtado.
Presidente de la Comisión Joven de ENATIC
18:55 – 19:10Digital Omnibus on AIJosé Manuel Muñoz Vela
Vocal de ENATIC

19:10 – 19:25 | Presentación de la Comisión Joven ENATIC

Debate moderado (19:25 – 19:55)

Moderación: Patricia Frade Ortea. Comisión Joven de ENATIC

Título: La importancia de la calidad de los datos para la confianza y seguridad de las soluciones legal tech de inteligencia artificial especializadas. Claves prácticas y jurídicas

  • Ana Belén Barbero Castejón. Comisión Joven de ENATIC
  • José María del Río Garay. Comisión Joven de ENATIC
  • María Aguiriano López. Comisión Joven de ENATIC

Mesa redonda final: IA en el ámbito sanitario (19:55 – 20:20)

HoraPonenciaPonente
19:55 – 20:05El uso secundario de datos de salud en el EEDS, una revolución médico-tecnológica inminente para la gestión de los datos y la investigaciónMaría Sánchez Besga.
Vicepresidenta de la Comisión Joven de ENATIC
20:05 – 20:20Cuestiones éticas y jurídicas acerca de ChatGPT SaludÍñigo de Miguel Beriain.
Vocal del Comité de Bioética de España, Vocal de la Asociación Española de Derecho Sanitario y Presidente del CEIm de Euskadi
20:15 – 20:20Iberoamérica ante ChatGPT Salud, ya disponible y desplegado: implicaciones en la privacidad, la ciberseguridad y la gobernanza de la IARodolfo Guerrero Martínez.
Comisión Joven de ENATIC

20:25 – 20:30 | Clausura

Un webinar estructurado en mesas de debate y ponencias, que reunirá a miembros de la junta de ENATIC y de su Comisión Joven para abordar, desde distintas perspectivas jurídicas, cuestiones clave en la intersección entre protección de datos e inteligencia artificial.

La sesión, que se celebrará el 27 de enero de 2026, coincidiendo con el 14º aniversario de la Asociación, servirá además como primer acto público del nuevo Consejo de la Comisión Joven de ENATIC, elegido en diciembre, y como punto de partida para una nueva etapa de participación activa en los debates jurídicos que están marcando la agenda digital europea.

No te lo pierdas, ¡ya puedes inscribirte!

Ómnibus: El Futuro de la Gobernanza Digital

/0 Comentarios/en /por

El próximo 18 de diciembre se celebrará una nueva sesión del Foro ENATIC, un espacio de análisis y debate jurídico orientado, en esta ocasión, a examinar la propuesta Ómnibus de la Comisión Europea y su impacto en el actual marco de gobernanza digital, con especial atención a ámbitos como el Derecho Digital, la inteligencia artificial, la privacidad y la ciberseguridad.

La jornada, que tendrá lugar en formato online, reunirá a profesionales de referencia del ámbito jurídico y tecnológico para compartir primeras reflexiones jurídicas y estratégicas sobre esta iniciativa normativa, así como para contrastar posiciones en torno a su posible incidencia en el ordenamiento jurídico europeo y en la configuración futura del ecosistema regulatorio digital de la Unión.

Durante el foro se abordarán cuestiones relativas a la coherencia y articulación del conjunto de normas que integran el Digital Rulebook de la Unión Europea, analizando los retos que plantea la convivencia entre los nuevos instrumentos regulatorios y los marcos ya consolidados en materia de inteligencia artificial, protección de datos, ciberseguridad y servicios digitales.

La mesa redonda contará con las intervenciones de Carlos Alberto Saiz Peña, José Manuel Muñoz Vela, José Leandro Núñez García y Rodolfo Tesone Mendizábal, y estará moderada por Belén Arribas Sánchez, todos ellos miembros de la junta de ENATIC y profesionales con una amplia trayectoria en el ámbito del Derecho Digital. El encuentro se concibe como un espacio para profundizar, contrastar enfoques y anticipar escenarios relevantes para profesionales, organizaciones e instituciones ante el nuevo contexto regulatorio europeo.

Ya puedes inscribirte.

Factores que contribuyen a la llegada a buen puerto de la función del Delegado de Protección de Datos

/0 Comentarios/en /por

El Delegado de Protección de Datos (DPD), centrándome exclusivamente en el sector privado, se erige en la figura clave para impulsar el cumplimiento de la normativa de protección de datos, tanto en aquellos supuestos de nombramiento obligatorio como voluntario.

Como todo “oficio” de nuevo cuño, el éxito de la implantación de la figura del DPD pivota en factores de diversa índole, todos ellos necesarios, que dependen unas veces del responsable del tratamiento y, otras veces, de las cualidades y aptitudes del propio DPD. Veamos:

Factores que dependen del responsable del tratamiento

Resulta imprescindible que el DPD esté investido de “autoridad jerárquica” y a ello contribuye:

  • Compromiso firme de cumplimiento por la alta dirección, garantía de autonomía e independencia en el desarrollo de sus funciones, reporte directo a la alta dirección, dotación de recursos y medios suficientes.
  • Aprobación y difusión de un estatuto con la descripción de las funciones que corresponden al DPD, estableciendo de manera expresa la obligación de consultar y, correlativamente, la disponibilidad y accesibilidad que se espera del DPD, aclarando que la responsabilidad ante posibles sanciones no es atribuible al DPD sino que lo es, únicamente, al responsable del tratamiento.
  • Gobernanza de los datos: Aprobación y difusión de políticas, protocolos y procedimientos para garantizar la gestión proactiva, adaptados a la realidad organizativa y a los tratamientos realizados por el responsable; publicitar interna y externamente el canal del DPD; creación de un grupo multidisciplinar con los departamentos que habitualmente tratan datos personales en el desarrollo de sus funciones.
Factores que dependen del DPD

Para no ser percibido únicamente como una figura de control (que lo es) pero ajena al día a día o, lo que es peor, como una suerte de “paralizador sistemático de proyectos”, resulta imprescindible que el DPD esté investido de “autoridad moral” y a ello contribuye:

  • Conocimiento profundo de la organización y de la realidad de la actividad desarrollada por el responsable del tratamiento, contribuyendo a “aterrizar” la normativa: La revisión ordinaria o extraordinaria del registro de actividades de tratamiento, de los planes de acción derivados del análisis de riesgos o de las evaluaciones de impacto de privacidad son momentos óptimos para conectar y detectar aspectos de mejora, cambios relevantes o inquietudes planteadas por los profesionales que tratan datos personales.
  • Impulsar una cultura de cumplimento de la normativa de protección de datos: Adaptar la formación a la realidad de cada profesional con conceptos claros, precisos y ejemplos prácticos; difusión personalizada mediante el envío de píldoras informativas, recopilatorio semanal de noticias destacadas y su relación con aspectos del día a día o, resumen de resoluciones e informes relevantes por ámbitos de actividad de tratamiento, concretando propuestas de mejora.
  • Empatizar, mostrarse accesible y generar confianza: Evitar discursos del tipo “las sanciones pueden ascender a 20 millones de € o al 4% de la facturación”, lo sabemos y tiene un cierto efecto paralizante. El discurso debe focalizarse en lo que puede (y debe) hacerse, conceptos como la prevención, la detección y mitigación del riesgo, el hecho que siempre es mejor consultar a tiempo que generar un problema y, en resumen, que debe contarse con el DPD desde la fase de diseño, por cuanto “el RGPD no prohíbe, indica el camino” y la función del DPD es ayudar a descubrir y concretar ese camino.

La suma de los anteriores factores contribuye, sin duda, a lograr que la protección de datos no sea percibida como “cosa” del DPD, sino que sea asumida como un compromiso por parte de todos y cada uno de los profesionales que integran la estructura del responsable del tratamiento y, de esa manera, llegar a buen puerto.

Isabel Mascaró Currás
Compliance Officer, Delegada de Protección de Datos y Vocal ENATIC.

Autor: Cottombro (Vía Pexels)

El consentimiento en el nuevo escenario digital

/0 Comentarios/en /por

El actual escenario digital de la sociedad comporta riesgos para los derechos y libertades de los ciudadanos, ya que la cantidad de información relacionada de diferentes fuentes, la concentración y la difusión de esta información en plazos inmediatos de tiempo, puede dar la sensación de inseguridad y de pérdida de control a los titulares de los datos como “parte débil” del tratamiento.

La información se transforma en el eje vertebrador que permite acceder a mejores servicios, a productos más personalizados, a obtener información más disponible, avances científicos, etc. Hay autores que consideran que los datos son “el oro negro del siglo XXI” ya que es el combustible que hace que las empresas crezcan y sean competitivas, pero para que este crecimiento sea equilibrado se debe diseñar adecuadamente y dar las garantías suficientes a los titulares de esta información.

En este contexto, toma especial relevancia la transparencia, la necesidad de demostrar que se tiene la voluntad de cumplir y que esta voluntad no es un mero escenario. Los responsables de los tratamientos deberán, entre otras cosas, informar adecuadamente de las finalidades, del tipo de datos que van a recogerse, de la existencia del derecho a retirar el consentimiento sin ningún perjuicio para sus derechos y libertades, etc. En definitiva, se deberá poder demostrar que las personas han aceptado las operaciones del tratamiento de manera libre e informada, y que en todo momento se respetan los principios de la legislación aplicable en materia de protección de datos, y en especial, los principios de lealtad, necesidad, proporcionalidad y calidad de datos.

Es importante que los responsables de los tratamientos estén convencidos de que el cumplimiento de la legislación de protección de datos supone una oportunidad de mejora continua de sus servicios y de la calidad de sus productos, y en consecuenia, diseñen sus sistemas de información de manera que garanticen que cualquier persona física pueda decidir efectivamente sobre el control de su información personal y si es el caso, consentir de manera libre y no coaccionada cualquier tratamiento de sus datos.

Definición de consentimiento

El consentimiento es una de las bases jurídicas para el tratamiento de datos personales que se enumeran en el art. 6 del Reglamento General de Protección de datos (UE) 2016/679 en adelante (RGPD) y se configura en la legislación como la capacidad real de aceptar o no y otorga a los titulares el control sobre sus datos personales. Si el interesado realmente no tiene el control, la capacidad de decidir se diluye y no podemos hablar de una actividad lícita.

El RGPD en el art. 4 ap. 11 define el consentimiento como:” toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

La Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) en su art. 6 también define el consentimiento “toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

El control sobre la información personal debe estar en manos del interesado sin que se vea obligado o coaccionado a aceptar tratamientos de su información si no es su voluntad. Para que éste sea válido debe ser reversible sin que perjudique de ninguna manera al titular de los datos.

Elementos para un consentimiento válido

En el caso que el responsable del tratamiento haya determinado que la base de legitimación es el consentimiento, debe diseñar sus sistemas de información para garantizar que éste sea válido. Deberá tener en cuenta los aspectos que a continuación analizaremos:

  1. Manifestación de voluntad libre

Es imprescindible que el titular de los datos no se encuentre obligado a aceptar por temor a las consecuencias perjudiciales que la negativa le pueda ocasionar. Por tanto, a la utilización del término libre comporta que el interesado pueda elegir libremente y pueda mantener el control sobre su información personal.

Si el titular de los datos se siente presionado, ya sea porque la prestación de servicios solicitada o la ejecución del contrato le obliga a aceptar, o si existe un desequilibrio de poder o alguna condicionalidad que le perjudica, el consentimiento quedará invalidado.

Se pueden dar situaciones en las que es difícil determinar que la manifestación de voluntad es libre si existe un desequilibrio de poder, como en las relaciones laborales dónde conviven diferentes fuentes de legitimación. El responsable tendrá que diseñar procedimientos de obtención del consentimiento que preserven la independencia de la elección y garanticen que la negativa al tratamiento no comporta consecuencias negativas para el titular de los datos.

Resulta imprescindible un análisis detallado sobre qué datos son imprescindibles para la formalización de un contrato o la prestación de un servicio para poder valorar situaciones de supeditación o de vinculación. Si se determina que el tratamiento de datos es imprescindible, la base de legitimación no sería el consentimiento y por tanto no se aplicaría el art. 7.4 del RGPD.

En el art. 6.3 de la LOPDGDD, se determina que “No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual”. En la misma línea, el RGPD indica que de ninguna manera se podría vincular el consentimiento a la aceptación de términos y condiciones generales del contrato

El legislador, tanto europeo como nacional, señala la condicionalidad como una presunción de falta de libertad para otorgar el consentimiento. Los responsables del tratamiento, como muestra de responsabilidad proactiva, deben poner especial atención para poder demostrar que la condicionalidad no existe ni tampoco el perjuicio para el interesado.

  1. Manifestación de voluntad específica

La LOPDGDD en su art.6.2 indica que “Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas”.

El responsable debe informar de los fines perseguidos los cuales deben ser determinados y específicos para la finalidad perseguida. La determinación y especificación de los fines de tratamiento resulta imprescindible y una garantía para que el uso de la información no se difumine de manera gradual de los fines para los que se produjo la recogida inicial de los datos. Por tanto, debe haber una clara separación entre la información relacionada con la obtención del consentimiento de otras actividades.

En el caso que el formato sea en papel o en contratos electrónicos, la obtención del consentimiento debe quedar claramente diferenciada de las otras cuestiones y deberá ser una solicitud separada y diferenciada de las condiciones generales. En el caso de pantallas pequeñas se podría facilitar la información por capas.

  1. Manifestación de voluntad informada

El RGPD pone especial énfasis en la necesidad de reforzar la información facilitada para conseguir un consentimiento libre. Es, también, uno de los requisitos de la transparencia relacionados con los principios de lealtad y licitud. Esta información necesariamente se debe facilitar antes del inicio del tratamiento y debe mostrarse de manera accesible, ya que de otra manera el titular de los datos este perdería el control.

Los requisitos mínimos para que el consentimiento sea informado son:

  1. Identidad del responsable del tratamiento.
  2. El fin de cada una de las operaciones de tratamiento para las que se solicita en consentimiento.
  3. Tipo de datos que se van a recoger y a utilizar.
  4. La existencia del derecho de retirar el consentimiento.
  5. La información sobre el uso de los datos para decisiones automatizadas de conformidad con el art. 22, ap. 2 letra c) cuando sea pertinente.
  6. La información sobre los posibles riesgos de transferencia de datos debido a la ausencia de una decisión de adecuación y de garantía adecuadas, tal y como se describen en el art. 46.

En el caso que existan múltiples responsables que actúan conjuntamente se deben nombrar a todas las organizaciones y se debe indicar los tipos de datos que van a recogerse y como se van a utilizar. En el caso de encargados de tratamiento, no es necesario indicar cuáles son como requisito para prestar el consentimiento, aunque según se establece en los arts. 13 y 14 del RGPD los responsables deberán facilitar una lista completa de los receptores de los datos que incluyan los encargados. Se debe tener especial atención a lo establecido en el art. 33.2 de la LOPDGDD ya que en este articulo se indica que aunque el contenido del contrato que regula la prestación de servicios formalmente tenga la apariencia de la figura de engarcago de tratamiento por tener el conenido del art. 28.3 del RGPD, en el caso que el encargado actue en nombre propio sin que conste que actua por cuenta de otro, estaremos delante de un responsable de tratamiento y no de un encargado.

La información facilitada deberá adaptarse al caso en concreto en función de los destinatarios, los medios del responsable, el tipo de tratamiento, etc. En general, se debe utilizar un lenguaje claro y sencillo comprensible para el público al que va dirigido y con el medio que se considere más efectivo. El acceso a la información también debe ser fácil y, por tanto, no puede quedar difuminado en medio de condiciones generales de las políticas de privacidad.

  1. Manifestación de voluntad inequívoca

El RGPD determina que un consentimiento válido requiere de una manifestación inequívoca de dicha voluntad mediante una declaración o una acción afirmativa clara. En consecuencia, el interesado debe actuar de forma deliberada mediante una declaración escrita, verbal o efectuada por medios electrónicos para manifestar su consentimiento.

El responsable no debe diseñar los procesos de obtención del consentimiento de manera ambigua ya que debe quedar claro que el consentimiento por parte del titular de los datos es inequívoco. Por tanto, no será admisible la obtención del consentimiento mediante las condiciones generales del contrato, casillas pre-marcadas, etc.

En el caso de medios digitales, la manifestación de voluntad inequívoca se podría obtener mediante la interrupción de la experiencia del usuario para que resulte evidente la acción afirmativa clara. El problema puede surgir si el dispositivo técnico diseñado para obtener el consentimiento es demasiado invasivo y pesado, ya que de esta manera el interesado puede aceptar sin que libremente esté dispuesto a hacerlo ya que lo único que quiere es continuar con su servicio. En este caso sería difícil demostrar que se ha recabado un consentimiento libre.

Puede suceder que los responsables del tratamiento diseñen procedimientos en el ámbito digital en los cuales constantemente se piden aceptaciones a los usuarios, que al final, ya no leen por lo que pierden su eficacia. El RGPD impone a los responsables la obligación de desarrollar maneras de abordar este tema como podría ser la configuración del navegador u otras medidas técnicas para garantizar el consentimiento libre de los usuarios.

Las acciones diseñadas para obtener el consentimiento deben ser claras y evitar la ambigüedad y garantizar que la acción para la cual se presta el consentimiento está claramente diferenciada de las demás. Continuar simplemente con el uso del sitio web no es una conducta de la que pueda inferirse una indicación de que el interesado desee mostrar su acuerdo respecto a una operación de tratamiento.

Obtención del consentimiento explícito

La nueva legislación indica que en el caso de categorías especiales de datos (art. 9 RGPD) o de transferencias internacionales a terceros países u organizaciones internacionales en ausencia de garantías adecuadas es necesario obtener el consentimiento explícito (art.49 RGPD). También es necesario el consentimiento explícito sobre los tratamientos que comporten decisiones individuales automatizadas incluida la elaboración de perfiles (art. 22 RGPD).

Explícito se refiere a la manera en la que el interesado muestra su conformidad. Por tanto, se podría obtener mediante la aceptación de una casilla en un formulario para eliminar cualquier duda, por medio de una conversación telefónica grabada, etc.siempre que se haya informado adecuadamente de manera previa a la aceptación.

Condiciones adicionales para la obtención del consentimiento válido

Los responsables del tratamiento de datos deberán diseñar sus procesos para poder obtener, mantener y demostrar que han conseguido un consentimiento válido. Estos procesos se pueden adaptar a sus protocolos de funcionamiento diario en función de la tecnología o la metodología que utilicen.

En resumen, el responsable deberá poder demostrar:

  1. Que informó adecuadamente y que el proceso de obtención del consentimiento se diseñó de manera efectiva para la finalidad perseguida.
  2. Que el consentimiento sigue siendo válido mientras dure la actividad del tratamiento.
  3. Que el interesado puede retirar su consentimiento en cualquier momento y que se haga de una manera tan fácil como se prestó inicialmente.
  4. Que el efecto de revocación del consentimiento produce los efectos de borrado de los datos. En el caso que el responsable quisiera cambiar la base jurídica del tratamiento, deberá notificarlo al interesado de conformidad con los requisitos de transparencia.

Según la LOPDDGG, el tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de 14 años. En otros casos, será necesaria la obtención del consentimiento de sus representantes legales y el responsable del tratamiento deberá diseñar sistemas para poder verificar de manera razonable la edad y la patria potestad del menor.

En el caso que se presten servicios de la sociedad de la información a niños sobre la base del consentimiento se espera que los responsables adopten las medidas razonables para verificar que el usuario supera la edad del consentimiento digital y adopten medidas de comprobación de la misma.

Los mecanismos de comprobación de la edad del menor y la identificación de la patria potestad deben ser proporcionales y obtener una mínima cantidad de información, la cual, debe ir directamente relacionada con los riesgos inherentes al tratamiento.

Consentimiento otorgado con anterioridad a la entrada en vigor del RGPD

Los responsables que tratan datos sobre la base del consentimiento están obligados a revisar los procesos de obtención del consentimiento y a renovarlos de acuerdo con las exigencias de la nueva legislación aplicable.

Modificar únicamente las políticas de privacidad puede no ser suficiente si el procedimiento de obtención del consentimiento de los datos no fué el adecuado. Los tratamientos basados en consentimientos tácitos, por ejemplo basados en casillas pre-marcadas o inacciones se deberán analizar y determinar si existe una base jurídica que sustente el tratamiento, en caso contrario deberán obtenerse el consentimiento de acuerdo con las exigencias del RGPD:

También será necesario revisar las formas de revocación del consentimiento y si se ajustan a las disposiciones del RGPD.

Conclusión

En el nuevo escenario que ofrece el RGPD y LOPDGG, el responsable debe diseñar todos sus procesos para obtener un consentimiento válido desde el inicio del tratamiento hasta la finalización del mismo y diseñar estrategias que le permitan ir renovando el mismo de manera periódica.

La nueva regulación supone un reto para las organizaciones ya que la licitud, lealtad y la transparencia en el tratamiento de los datos debe ser la base de cualquier proyecto que se desarrolle y supone una implicación de los diferentes departamentos de las mismas en la consecución de los fines concretos.

 

Marta López Benito

Asociada de ENATIC

 

Fuentes:

  1. Directrices sobre el consentimiento en el sentido del Reglamento (UE) 2016/679 http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051
  2. Dictamen 15/2011 sobre la definición de consentimiento (WP 187). http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2011/wp187_en.pdf
  3. Dictamen 03/2016 sobre la evaluación y revisión de la Directiva sobre privacidad las comunicaciones electrónicas. http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2016/wp240_en.pdf
  4. (http://www.computing.es/analytics/noticias/1107647046201/datos-oro-negro-del-siglo-xxi.1.html

Zsófia Vera Mezei (vía Unsplash)

Última hora del derecho al olvido vs libertad de información

/0 Comentarios/en /por

«Análisis conjunto de la STC. 58/2018 y de la STEDH de 28 de junio de 2018 (Caso M.L. et W.W. vs. Alemania) y contraste con las previsiones del RGPD.»

 

El pasado mes de junio se dictaron dos Sentencias, por el Tribunal Constitucional (STC. 58/2018, de 4 de junio) y por el Tribunal Europeo de Derechos Humanos (STEDH de 28 de junio de 2018, Caso M.L. et W.W. vs. Alemania) que, en aparente contradicción, dan un paso más en la doctrina sobre el derecho al olvido y los motores de búsqueda contenida en la archicitada Sentencia del TJUE (Gran Sala) de 13 de mayo de 2014 (asunto C‑131/12, Google Spain, S.L. y Google Inc.).

Recordemos sintéticamente que el TJUE (y actualmente el art. 17.1 a) del RGPD) imponen a los motores de búsqueda la obligación de eliminar los enlaces a páginas web de la lista de resultados basada en el nombre cuando un tratamiento de datos inicialmente lícito pudiera, con el tiempo, no ser ya necesario para los fines para los que fueron recogidos o tratados. El Tribunal otorgó prevalencia al derecho a la intimidad y a la protección de datos, salvo en casos en que la relevancia pública del sujeto u objeto hiciera prevalecer el derecho a la información (en el mismo sentido hoy el art.17.3 a) del RGPD). Por primera vez se dejaba claro que el tratamiento de datos personales realizado constituye una mayor injerencia para los derechos fundamentales del interesado que la publicación de la información en la página web enlazada.

En congruencia con esa doctrina, cuando la Sala Primera de nuestro TS hubo de enfrentarse en su Sentencia de 15 de octubre de 2015 (rec. 2772/2013) a un caso de “derecho al olvido” sobre una noticia relativa a un delito de tráfico de drogas publicada 20 años antes de su puesta a disposición en la hemeroteca digital del diario, ya tenía el camino marcado por el TJUE (y por sus propios antecedentes en SSTS.1917/2016, 1618/2016 y 210/2016) y así, una vez constatadas la carencia de relevancia pública de los demandantes, la ausencia de interés histórico en la información y el considerable tiempo trascurrido desde su inicial divulgación, estimó la pretensión de desindexación en buscadores generalistas al valorar ese tratamiento  desproporcionado, estigmatizador y contrario a la finalidad de reinserción.

El litigio llegó al TC porque los interesados pretendieron, además, que sus datos personales fueran desindexados también del buscador interno del diario y que se suprimiesen o anonimizasen en el código fuente de la web, lo que fue desestimado por el TS al considerarlo un sacrificio desproporcionado de la libertad de información (“censura retrospectiva”), por su mínimo efecto multiplicador en relación con los buscadores generales y en vista de la jurisprudencia del TEDH protectora de la integridad de las hemerotecas digitales.

Circunscrito el recurso de amparo a ese concreto y limitado aspecto, la STC.58/2018, de 4 de junio, resuelve el conflicto con la libertad informativa otorgando prevalencia al primero, obligando a desindexar los datos personales “para su uso por el motor de búsqueda interno de El País”,  que “debe ser considerada una medida limitativa de la libertad de información idónea, necesaria y proporcionada”. Por el contrario, el TC rechaza la pretensión de supresión o anonimización de datos personales del código fuente de la web por estimarla  innecesaria y limitativa de la libertad de prensa.

Es cierto que la STC. 58/2018 aplica la doctrina sentada por el TEDH para esta clase de conflictos, basada en los criterios de veracidad de la información, relevancia pública de los hechos (en el sentido de noticiables), el efecto multiplicador de las hemerotecas digitales sobre la afección en los derechos de la personalidad y la incidencia del tiempo (desactualización de la noticia).

Pero el TC añade una consideración novedosa, al diferenciar dos finalidades de las hemerotecas digitales: “Por un lado, la de garante de la pluralidad informativa que sustenta la construcción de sociedades democráticas, y, por otro, la de crear archivos a partir de informaciones publicadas previamente, que resulta sumamente útil para la investigación histórica… si bien ambas desempeñan una función notable en la formación de la opinión pública libre, no merecen un nivel de protección equivalente al amparo de la protección de las libertades informativas, por cuanto una de las funciones es principal y la otra secundaria”. La función principal “va dirigida a garantizar la formación de una opinión pública plural, no a satisfacer la curiosidad individual y focalizada”. De modo que el TC encuentra mayor justificación en sacrificar la libertad de información en favor de los derechos previstos en el art.18.1 y 4 CE cuando se trata de  noticias que tengan un mero interés histórico, estadístico o científico, que en los casos de noticias con un interés informativo actual.

Dejando a un lado este interesante e inédito punto de vista, lo cierto es que la obligación de desindexar, incluso respecto de los buscadores internos de los diarios, no se compadece bien con un importante aspecto de la libertad de información, y  potencial riesgo para ésta como es la “autocensura”, riesgo sobre el que ha alertado la STEDH de 28 de junio de 2018, Caso M.L. et W.W. vs. Alemania, al resolver sobre un supuesto de denegación del derecho al olvido ejercitado por los protagonistas de varias noticias relativas a graves delitos estando próximo el cumplimiento de las penas por sus autores.

El TEDH pone de manifiesto “el riesgo de que se produzca un efecto disuasorio sobre la libertad de expresión de la prensa…, en particular el riesgo de que los medios de comunicación, por falta de personal suficiente y de tiempo para examinar dichas solicitudes, ya no se vean obligados a incluir en sus informaciones elementos que puedan llegar a ser ilegales posteriormente”. Advierte que las solicitudes de supresión podrían entrañar “el riesgo de que la prensa se abstuviera de conservar las informaciones en sus archivos en línea u omitiera elementos individualizados en las informaciones…”.

Las anteriores consideraciones parecen muy pertinentes en relación con la obligación de desindexar los datos personales de las noticias también respecto de los buscadores internos de los diarios, pretensiones que, de ejercitarse masivamente, y en caso de falta de medios para atenderlas, podrían conducir a que aquellos optasen por no mantener las hemerotecas digitales, o lo que sería más grave aún, optasen por no incluir datos personales en sus informaciones, supuesto de “autocensura” poco razonable.

Aunque se admitiese la tesis del TC de que la funcionalidad de mera investigación histórica que cumplen secundariamente las hemerotecas digitales no merece el mismo nivel de protección constitucional que la de formación de una opinión pública libre (libertad de información), el art.17.3 del RGPD es taxativo al prescribir que el derecho al olvido “no se aplicará” cuando el tratamiento sea necesario con fines de investigación científica o histórica “en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento…”, y no parece dudoso que la desindexación en buscadores generalistas y en buscadores internos de los diarios “obstaculiza gravemente” ese tratamiento con fines de archivo e investigación.

En todo caso, la conciliación del derecho a la protección de los datos personales con el derecho a la libertad de expresión y de información, es uno de los pocos mandatos de regulación que el RGPD (art.85.1) dirige a los Estados miembros, que deberá efectuarse mediante norma con rango de Ley, estableciendo exenciones o excepciones al derecho al olvido (art.85.2).

Pese a lo anterior, sorprendentemente, el proyecto de Ley de Orgánica de Protección de Datos de Carácter Personal actualmente en trámite (texto publicado en el BOCG de 24 de noviembre de 2017), no contempla regulación alguna al respecto, como ya sucediera por cierto con la Ley Orgánica actualmente vigente, omisión que habrá de ser subsanada durante su tramitación parlamentaria con objeto de no incumplir el claro  mandato del RGPD.

 

Javier Núñez Seoane. Abogado

PROLEY ABOGADOS.

Socio ENATIC

@abotgado_es

Uso de Whatsapp entre abbogados y clientes - LOPD

¿El uso de whatsapp entre abogados y clientes se puede considerar adecuado a la LOPD?

/0 Comentarios/en /por

Recientemente, whatsapp ha actualizado su política de privacidad, introduciendo en la misma el aviso de que los principales datos de identificación del usuario van a ser compartidos por las empresas del grupo Facebook y añadiendo los usos que pueden hacer de los datos personales del usuario.

El usuario recibe una notificación que debe aceptar o rechazar dentro de un plazo, invitándole a que, si no acepta la política, puede dejar de usar la app.

Ello nos mueve a reflexionar si el uso masivo que se está realizando en la actualidad de esta herramienta se adecua a la normativa sobre protección de los derechos a la privacidad existente en nuestro país, especialmente desde el punto de vista de su uso profesional entre los abogados y sus clientes.

Whatsapp como responsable del tratamiento de datos personales

Mediante el uso de whatsapp entre abogado y cliente se está produciendo un tratamiento de datos personales. Whatsapp es un servicio de mensajería con el cual los usuarios pueden intercambiar mensajes de texto y archivos de tipo imagen, vídeo y audio. Whatsapp, para su funcionamiento, utiliza la conexión a Internet del usuario y en el momento en que se instala en un terminal, la plataforma accede a todos los teléfonos de contacto almacenados en este terminal, tanto si estos tienen instalado o no Whatsapp. Es decir, la app lee los números de teléfono de la agenda del usuario para comprobar quienes están registrados en Whatsapp. Los contactos que también dispongan de whatsapp aparecen en la lista de favoritos y en la pantalla de chats de la App.

La Ley Orgànica 15/1999, de 13 de diciembre, debe aplicarse a cualquier tratamiento de datos de carácter personal que se realice en territorio español, así como cuando el responsable del tratamiento no está establecido en territorio de la UE pero utiliza, para tratar los datos personales, medios situados en territorio español.

Sin perjuicio de que en el funcionamiento de este tipo de Apps puede existir diferentes grados de responsabilidad, en el caso que nos ocupa el responsable del tratamiento será la empresa responsable de la explotación comercial de la misma. Esta empresa decide qué tipo de tratamiento realizan de los datos de los usuarios que desean utilizar su app y establecen las condiciones de uso de su app en su página web (“Terms of service”). Así pues, Whatsapp es responsable del tratamiento de datos de los usuarios, a los efectos del art. 3.d) de la LOPD.

Por lo que concierne a nuestro análisis, destaca en sus condiciones de uso publicadas que el usuario que se instala la app se obliga a someterse, en caso de cualquier conflicto legal, a la jurisdicción de California y, de existir desacuerdo entre el usuario y Whatsapp, la normativa aplicable no sería la española, resultando, además, que el acuerdo entre el usuario y la empresa se determina a exclusivamente en dichas clausulas y en la política de privacidad de la misma web. Ello conlleva la exclusión por parte de la empresa de cualquier otra normativa y, en este caso, la europea, en su relación con los usuarios de la app.

El tratamiento de datos entre abogado y cliente por medio de Whatsapp

Un abogado realiza un tratamiento de datos personales con sus clientes que, sin duda, no puede considerarse meramente doméstico (art. 2.a LOPD) para que pudiera estar excluido de la aplicación de la LOPD. El abogado es responsable de determinados ficheros de datos (art. 3.b LOPD) en los que puede tratar información personal de sus clientes. En este sentido el abogado tiene la responsabilidad directa del tratamiento de los datos de sus clientes, que incluye elegir el canal de comunicación más adecuado con los mismos.

Teniendo en cuenta que un dato personal es cualquier información relativa a personas físicas identificadas o identificables (art. 3.a LOPD), la información personal que se trata, cuando se utilizan las apps de mensajería instantánea, deberá ser protegida por la LOPD, puesto que tal como indica el Considerando 24 de la Directiva 2002/58/CE, “los equipos terminales de las redes de comunicaciones electrónicas, así como toda la información almacenada en estos equipos, forman parte de la esfera privada de los usuarios”

Con el uso de las apps de este tipo se produce una comunicación entre dos personas físicas (usuario y contacto), de forma que no solo se tratan los datos del usuario, sino también los de sus contactos. Por otro lado, además de la información personal que pueda figurar en los mensajes de texto, también se tratan archivos adjuntos, como por ejemplo fotografías.

Aun cuando Whatsapp indica en sus condiciones que no recopila nombres, emails, direcciones u otros datos de contacto más allá de los números de teléfono móvil de la lista de contactos, debe tenerse en cuenta que la foto de perfil, el estado del usuario y la fecha y hora de la última conexión, es información personal accesible a cualquier usuario de la plataforma.

Por todo lo que se ha indicado, deberá concluirse que el uso de una app de mensajería instantánea como Whatsapp, en el marco de la relación abogado-cliente puede generar un tratamiento de datos personales del propio abogado, de sus clientes, en el caso que estos se encuentren en la lista de los contactos del teléfono que utiliza el abogado y, hasta, de terceras personas, de las cuales pueda darse información en un mensaje transmitido o en un archivo que se adjunta al mensaje, como podría ser una fotografía, que han de quedar protegidos por la normativa de protección de datos.

En este sentido cabe destacar que Whatsapp, ha mejorado sus medidas de seguridad, mediante la reciente encriptación del contenido de los mensajes intercambiados.

El consentimiento del usuario para el tratamiento de los datos.

Cualquier tratamiento de datos personales ha de disponer del consentimiento previo del titular de los datos (art. 3.e LOPD), a menos que este no sea exigible (art. 6 LOPD). Este consentimiento o la habilitación legal, si procede, es la base jurídica que permite a una app y a los diferentes responsables que intervienen, tratar datos personales del usuario de la app.

En el caso de la app que analizamos, se incluyen las condiciones de su uso en su página web, las cuales pueden ser modificadas de forma unilateral y no dejan margen de opción al usuario, más allá de aceptar o bien no utilizar la app.

En la reciente actualización se informa al usuario que Whatsapp podrá compartir los datos del usuario con las empresas del grupo Facebook, lo que, inicialmente es opción del usuario, aceptar esta comunicación de datos.

Sin poder entrar en más consideraciones relativas a la seguridad de los datos objeto de tratamiento, por mor del espacio de este artículo, habrá que concluir que, sin duda, el abogado tiene la responsabilidad que le otorga la LOPD, como responsable del tratamiento de los datos de sus clientes, que incluye la elección de los canales de comunicación más adecuados para cumplir con las exigencias legales de protección.

Atendiendo a las consideraciones efectuadas y además, a que en el contexto de la relación entre abogado y clientes puede ser frecuente el tratamiento de datos sensibles (art. 7 LOPD), no resultaría recomendable, en mi opinión, el uso de Whatsapp, en la relación entre abogado y cliente.

Pere Rius Alonso
Abogado
Socio Director de TICJURIS ADVOCATS, S.L.P.
Asociado a ENATIC
www.ticjuris.com

Geolocalización y Protección de Datos

/0 Comentarios/en /por

Con el rápido desarrollo tecnológico y la amplia difusión de dispositivos móviles inteligentes se ha desarrollado un nuevo tipo de servicios basados en la localización de las personas. El marco jurídico en la Unión Europea para el uso de los datos de geolocalización que surgen de los teléfonos inteligentes es principalmente la Directiva sobre protección de datos. Nadie duda de los riesgos que para la privacidad tiene el servicio de geolocalización constante proporcionado por los smartphones o teléfonos inteligentes puesto que permiten la monitorización permanente de los datos de localización.

Esta colección de datos permite realizar unos perfiles muy completos y perfectos de sus usuarios. Dado que estos dispositivos siempre están con su propietario, bien en el bolsillo o en sus puestos de trabajo, contienen gran cantidad de información de la persona, desde fotografías hasta mensajes electrónicos. El continuo recibimiento de datos proporciona a los proveedores de servicios de geolocalización una recopilación exhaustiva de los hábitos y costumbres de los propietarios de los teléfonos inteligentes.  La recopilación constante de datos de localización, en muchas ocasiones sin que el poseedor sea consciente, permite recoger también los llamados datos especialmente protegidos en los supuestos en que el usuario visita repetidamente un hospital, un centro de culto o bien la sede de un partido político determinado. Los usuarios de estos terminales ignoran que están enviando su paradero constantemente y desconocen también con qué finalidad se almacenan sus datos. En escasas ocasiones el interesado ha proporcionado su consentimiento para su tratamiento, por lo que no puede considerarse legalmente válido puesto que el consentimiento no puede ser logrado mediante la aceptación de las condiciones generales y debe de ser específico para los diferentes fines para los que se procesen los datos.

Cómo corregir los posibles defectos de origen de las apps.

Siguiendo el Dictamen 02/2013 del Grupo de Trabajo del Artículo 29 sobre Protección de Datos http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp185_en.pdf los riesgos de las aplicaciones de los dispositivos inteligentes podrían evitarse haciendo uso de ciertas prácticas. Utilizar el sistema de la privacidad por defecto, permitiría que con anterioridad a que el usuario descargara una aplicación, estaría informado de quien recoge su información y para qué es utilizada, qué parte está siendo compartida, con quien y con qué propósitos. La transparencia debería  desempeñar un papel clave en todo el proceso para que los usuarios pudieran tomar una decisión informada sobre el uso de la aplicación. Asimismo, se requeriría minimizar y limitar la información recopilada, para que fuera razonable, no excesiva y para que el período de almacenamiento de datos fuera el más breve posible.

 Al mismo tiempo, se aconseja conocer la identidad y los datos de contacto del responsable del tratamiento para poder ejercitar los derechos de acceso, rectificación, cancelación u oposición y convendría averiguar la razón por la que se conserva la información y por cuánto tiempo se ha de guardar y bajo qué justificación.  Si con posterioridad la aplicación modificara sus propósitos y quisiera utilizar los datos personales para otra finalidad distinta de la que preveía inicialmente, el proveedor de la aplicación debería ponerse en contacto con el usuario e informarle sobre sus nuevos usos y obtener su permiso. Convendría que no existieran las actualizaciones secretas y el usuario habría de estar advertido sobre cualquier cambio sustancial de la aplicación que afecte a su privacidad. También recomendamos tomar las medidas de autenticación de usuario mediante métodos adaptados a los riesgos y establecer tanto la medida de autenticación inicial para el acceso al dispositivo como un extra para utilizar la aplicación.

 

Teresa de Gea
Abogada – Máster en Derecho de Internet y Nuevas Tecnologías
Licenciada en Ciencias Políticas y de la Administración

 

 

 

Jornada ENATIC - CGAE DATA PRIVACY DAY 2016

Jornada ENATIC- CGAE DATA PRIVACY DAY 27 de enero 2016

/0 Comentarios/en /por

La Comisión Europea, el Consejo de Europa y las Autoridades de Protección de Datos de los estados miembros de la Unión Europea, impulsan la celebración del Día Europeo de la Protección de Datos en Europa el día 28 de enero de cada año, para promover el conocimiento entre los ciudadanos acerca de cuáles son sus derechos y responsabilidades en materia de protección de datos.

Considerando que muchos de nosotros seguramente acudiremos a los múltiples eventos que, con ocasión de dicha celebración tengan lugar el día 28, hemos decidido organizar una jornada de encuentro sobre la temática la tarde del día 27 (miércoles) en el Salón de Actos del Consejo General de la Abogacía Española, aproximadamente de 17:30 a 19:45 y con la siempre constante intención de poder tomarnos algo juntos a la salida quienes podáis.

La jornada que compartiremos con el hashtag #enaTICDPD16, será gratuita y dará comienzo a las 17:30 horas con la presentación de la misma por Lucas Blanque (Director de los Servicios Jurídicos en Consejo General de la Abogacía Española) y por Rodolfo Tesone Presidente de ENATIC.

Tras ello, sobre las 17:45 celebraremos una animada mesa redonda y coloquio de píldoras sobre retos y previsiones en materia de protección de datos para 2016 que se aventurarán a vaticinar y compartir nuestros queridos ponentes Javier Carbayo (Asociado Senior y Gerente del Área de Compliance en ECIX Group), Paula Ortíz (Director of Legal and Institutional Affairs. IAB Spain) y David Maeztu (Abogado en Abanlex), moderada por Borja Adsuara (Abogado, Profesor, miembro de la Sección Primera de la Comisión de Propiedad Intelectual, Fundación España Digital).

Finalizaremos con una charla específica y posterior coloquio sobre el control de las comunicaciones electrónicas y uso de medios tecnológicos en la empresa que impartirá Leandro Nuñez. (Socio de Audens y Secretario de ENATIC). 

Por control de plazas disponibles, os agradecemos que aquellos que tengáis previsto acudir a la jornada nos aviséis enviando un correo electrónico a enaticeventos@enatic.org o comunicacion@enatic.org.

Además, a lo largo del día 28 tenemos previsto compartir en twitter tips sobre protección de datos “en modo verso”, así que apelamos a vuestra ayuda, participación, simpatía y creatividad en apoyo a esta iniciativa, para lo que os pediremos que nos citéis (@ENATIC1) para poder dar la difusión que merece a vuestras recomendaciones en materia de protección de datos.

¡Os esperamos el próximo miércoles en Madrid!

Publicación en Internet de listados de personas deudoras con Hacienda

/0 Comentarios/en /por

 

  1. Introducción.

Recientemente, se ha publicado una modificación de la Ley General Tributaria[1] que ya fue objeto de gran debate en sede parlamentaria la cual está suscitando mucha polémica. Nos estamos refiriendo a la publicidad de «los listados de personas» que tienen deudas con la Hacienda Pública con identificación de nombre, apellidos y DNI.

La idea de dar publicidad a los «defraudadores» frente a la Hacienda Pública a modo de reprimenda adicional al incumplimiento de las obligaciones tributarias no es una novedad. Alemania y Finlandia ya poseen normas que no amparan el principio general de confidencialidad de los datos tributarios. De acuerdo con la exposición de motivos de esta ley, el ofrecer publicidad de aquellos que incumplen tiene su origen en la lucha contra el fraude fiscal con el objetivo de crear una  «conciencia cívica tributaria».

  1. Requisitos para la publicidad.

De la lectura del artículo 95 bis es necesario la concurrencia de varios requisitos cumulativos para poder publicar:

  1. Existencia de «deudas o sanciones tributarias» gestionadas por la Administración Tributaria del Estado[2].
  2. Que el importe de las deudas o sanciones pendientes de ingreso supere «el millón de euros».
  3. Que se haya agotado el período voluntario de pago.

Se tomará como fecha de referencia para la publicación el 31 de diciembre del año anterior al del acuerdo de publicación.

Se excluyen aquellas deudas aplazadas o suspendidas, entendemos que se refiere a aquellas en las que existe una resolución por parte de la Agencia Tributaria concediendo la suspensión y/o aplazamiento. A sensu contrario, deducimos que sí se pueden publicar aquellas en las que se ha solicitado el aplazamiento y no ha habido pronunciamiento al respecto.

  1. Datos objeto de publicidad y procedimiento.

Los datos que podrán ser objeto de publicidad, y en lo que aquí nos interesa, son el nombre, apellidos y NIF de la persona deudora, esto es, datos de carácter personal de acuerdo con la normativa LOPD y su Reglamento, pues permiten la identificación exacta  de la persona física.

A efectos del cómputo de los importes adeudados a la Hacienda Pública se tendrán en cuenta tanto las deudas como las sanciones.

El procedimiento que se seguirá es el siguiente:

  1. Notificación previa al afectado de la propuesta de inclusión en el listado.
  2. Posibilidad de formular las alegaciones por parte del afectado.
  3. Examen de las alegaciones y en su caso rectificaciones y acuerdo publicación.
  4. Publicación del listado por medios electrónicos debiendo adoptarse las medidas necesarias para impedir la indexación de su contenido a través de motores de búsqueda en Internet.
  5. Los listados dejarán de ser accesibles una vez transcurridos tres meses desde la fecha de su publicación.

Aquí es importante resaltar que el pago posterior a la fecha de referencia, es decir a 31 de diciembre del año anterior al del acuerdo de publicación, no afectará a la publicación del listado. Por ejemplo: si a 31 de diciembre de 2015 se debe más de 1 millón de euros y no ha sido pagado en período voluntario, y el día 6 se paga seguirá apareciendo en el listado.

Mediante Orden Ministerial se establecerá la fecha de publicación durante el primer semestre de cada año y los ficheros y registros.

  1. Colisión con el derecho a la protección de datos personales.

La ley dice que el tratamiento de los datos necesarios para su publicación respetará lo dispuesto en la ley de protección de datos (LOPD) y su Reglamento. Sin embargo, el texto definitivo no ha recogido la totalidad de las recomendaciones que sugería la Agencia Española de Protección de Datos para dar cumplimiento a la normativa a través de un informe de su Director.

Analizando desde el punto de vista práctico, la Hacienda Pública a nuestro modo de ver está haciendo un tratamiento de los datos personales que se extralimita de las finalidades para las que fueron recabados, esto es, para el cumplimiento de las obligaciones tributarias por parte del contribuyente y vulnera el principio de finalidad y adecuación de los datos. En base a este principio, el tratamiento de los datos personales ha de responder a una finalidad concreta, explícita, legítima y los datos han de ser adecuados, pertinentes y no excesivos.

Se extralimita porque decide hacer públicos unos datos que permiten la identificación de la persona con nombre, apellidos, DNI y hacerlo «público en Internet», aunque sea en su propia página web y por un tiempo determinado con los riesgos asociados sin responder a una finalidad legítima. La finalidad legítima es el tratamiento para el cumplimiento de las obligaciones tributarias y no para crear una prensa amarilla sobre deudores con alto poder adquisitivo. Ya conocemos cómo operan los ciberdelincuentes y con esta reforma les ponemos en bandeja sus próximos objetivos. En este punto, el informe del Director de la Agencia de Protección de Datos sugería la necesidad de detallar como finalidad en el propio artículo 95 bis la finalidad de prevención del fraude fiscal lo que hubiera legitimado un tratamiento de acuerdo con la ley de protección de datos.

En este sentido, nos preguntamos: ¿Pagarán los afectados a terceras empresas para que eviten su indexación en los motores de búsqueda antes y después de saldar la deuda?, ¿Qué ocurrirá en caso de solicitar un crédito, préstamo, subvención, etc.?

Además, es posible que dicha publicación suponga una cesión no amparada en la LOPD. Al colgarlos en la web se están tratando y revelando datos de los interesados sin su consentimiento, convirtiéndolos en «datos de dominio público» permitiendo que las empresas que evalúan la solvencia patrimonial actualicen sus ficheros con esta información extraída de la página web de la Agencia Tributaria.

  1. Conclusiones

La idea de publicar el nombre y apellidos y NIF de los «grandes defraudadores» con la Hacienda Pública en la lucha contra el fraude fiscal no es idea descabellada aunque sea importada de otros países. Sin embargo para llevarla a cabo se deberían respetar unos mínimos de cumplimiento en materia de protección de datos.

Los principios mínimos que se deberían respetar serían los siguientes:

  • Informar previamente en la comunicación de la reclamación de la deuda tributaria que si no se paga en período voluntario, se publicarán sus datos personales atendiendo a una finalidad de lucha contra el fraude fiscal. Sería muy conveniente detallar la finalidad en el artículo 95 bis o mediante reforma de la LOPD.
  • Restringir la publicación al nombre y apellidos de la persona en base al principio de minimización de los datos de carácter personal.
  • Delimitar las medidas de índole técnica necesarias para evitar la indexación en motores de búsqueda.
  • Establecer una prohibición para que terceros puedan hacer uso de dicha información que pasa a ser pública durante un período de tres meses teóricamente. En la práctica vemos complicado que esos listados sean usados únicamente para fines relacionados con el fraude fiscal y que la limitación temporal sea cumplida por terceros.

 

Rocío de Rosselló Moreno
Abogado Responsable Departamento TIC
CR CONSULTORES LEGALES
www.crconsultoreslegales.com
Miembro ENATIC

 

[1] Artículo 95 bis de la Ley 34/2015 de modificación de la Ley General Tributaria publicada en el BOE de 22 de septiembre de 2015

[2] Se limita a los tributos de titularidad estatal cuya potestad sancionadora le correspondo al Estado sin delegación de competencias a las CCAA.

La revolución de los selfies

/0 Comentarios/en /por

¿Quién no se ha autorretratado alguna vez? En esto consiste la moda de las autofotos o más conocidas como ‘selfies’.

Si bien es cierto que el autorretrato no es nada nuevo, sí lo es todo lo que gira alrededor de la tendencia selfie. Precisamente de eso se trata este post. Sin profundizar demasiado, mi intención es ofreceros un breve recorrido por las cosas del mundo en el que vivimos que, de alguna manera, se han transformado a consecuencia de este fenómeno social.

Los selfies y nuestra seguridad personal

En ocasiones lo que se pretende transmitir a través de un selfie es algo más que nuestra cara. Pues desgraciadamente cada vez es más frecuente ver como usuarios se juegan la vida y su seguridad personal en busca de la autofoto más espectacular. Hace apenas unas semanas se barajaba un dato cuanto menos sorprendente y es que, en lo que va de año, han muerto más personas por selfies que por ataques de tiburón. Así, preocupados por el aumento de traumatismos y desenlaces fatales, el gobierno ruso llegó a elaborar esta guía para ‘selfiarse’ de forma segura.

Aspectos jurídicos de los selfies

Por supuesto debo referirse también a la visión jurídica de los selfies. Hay que tener en cuenta aspectos como la protección de datos o el derecho a la imagen antes de tomarse una autofoto junto a otra persona. Se le debe pedir permiso para disparar el flash pero también para postearlo en las redes sociales.

Sin embargo, también entran en juego los derechos de propiedad intelectual. ¿Quién no se acuerda de la disputa que hubo por el selfie del mono? Legalmente, ¿quién es su autor? El mono? David Slater, como propietario de la cámara? Wikimedia? Nadie?

Parece que el asunto no quedó en una simple anécdota para el fotógrafo, porque ahora la organización PETA, que vela por el trato ético a los animales, ha pedido a los tribunales estadounidenses que le reconozcan derechos de autor al macaco. Según ellos, el mono tiene derecho a beneficiarse de los ingresos que obtuvo el fotógrafo David Slater por la repercusión social y viral que tuvieron los autorretratos.

(Quería ilustrar este post con el selfie del mono, como uno de los iconos del fenómeno, pero tal y cómo está el patio…)

Los selfies y nuestro perfil psicológico: ¿es posible descubrir la personalidad de los demás a través de sus selfies?

En un estudio que elaboraron investigadores de la Universidad Estatal de Ohio se concluyó que los hombres que publican más selfies en redes sociales tienen rasgos psicopáticos, narcisistas y personalidad antisocial. Además, los que se dedicaban a editar sus fotos presentaban un grado de auto-objetivación, es decir, que se valoran a sí mismos según su apariencia física.

Por otra parte, psicólogos de la Universidad de Birmingham descubrieron que los selfies afectan las relaciones interpersonales porque las personas de nuestro alrededor pueden sentirse en un segundo plano; hacerse selfies genera tensión (la de no saber cuándo será la próxima foto y tener que estar preparados para salir bien) y por tanto, irritabilidad; y porque supone competir entre iguales.

A todo ello, algunos profesionales como el Dr. David Veale, psiquiatra del Hospital de Maudsley (Londres), ya han puesto nombre cuando la tendencia del selfie es patológica: “Transtorno Dismórfico Corporal”.

Llegados a este punto, me reconfortan opiniones como la del psicólogo Jonathan García-Allen cuando dice que “el problema principal no son las nuevas tecnologías, sino el uso patológico de las mismas”. Gracias. Me tranquiliza saber que si hago selfies  no significa que sufra un trastorno mental.

Nuevas oportunidades de negocio gracias a los selfies

Las modas también conllevan nuevas oportunidades de negocio y la tendencia selfie es una de ellas. Por un lado, está suponiendo una evolución de la tecnología ya que los fabricantes de smartphones están dando más protagonismo a la cámara frontal que otros componentes (mayor calidad en la imagen, pantallas más grandes, etc.). Pues, saben que tienen que adaptarse a lo que sus usuarios demandan. Y, por otro lado, se  han puesto a la venta nuevos gadgets orientados al selfie como, por ejemplo, el palo extensible para hacer selfies o bien, uno que personalmente me ha llamado la atención, que sirve para autorretratarte con tu perro. Se trata de un accesorio en la parte superior de tu smartphone que sujeta una pelota de tenis (para llamar la atención del animal) y así te aseguras de que ría y salga bien.

El sistema financiero no es ajeno a todo esto, y dentro de poco nos dejaran “pagar por la cara” para evitar el fraude bancario. Se están desarrollando software de reconocimiento facial que nos ayudaran a pagar las compras online con un simple selfie y evitar la suplantación de identidad. Por supuesto, este innovador sistema de pago no está exento de polémica.

Los selfies no solamente sirven para demostrar lo bien que está uno, sino también para mostrar lugares que se visitan. De ahí puede derivarse una importante oportunidad de promoción para el turismo de la zona, aprovechando la viralidad de la que se caracterizan las redes sociales.

Campañas de reivindicación con selfies

Meses atrás se hizo popular la campaña del “Ice Bucket Challenge” para la lucha contra la esclerosis, que consistía en echarse un cubo de agua helada encima y subir el vídeo en tus redes. Más de cerca nos toca la campaña de #T de “La Brigada Tuitera” contra las tasas judiciales, que consiste en poner este símbolo en tu avatar de Twitter.

Como no podía ser de otra forma, los selfies también se han convertido en instrumento para reivindicaciones sociales como, por ejemplo, la campaña selfie de jóvenes libanenses contra la violencia.

Y hablando de selfies, reivindicaciones y justicia, se me viene a la mente una iniciativa para los profesionales del Derecho y abierta a todos: sería interesante impulsar una campaña contra el colapso judicial y otras vergüenzas afines. Venga, ¿alguno se anima a compartir su selfie en sala?

 

Cristina Ribas Casademont
Abogada especialista en Internet y nuevas tecnologías en Ribas Casademont advocats®
@RibasCasademont
https://es.linkedin.com/in/cristinaribas