Entradas

Ilustración conceptual de un mazo judicial rompiendo una interfaz digital de Telegram con la imagen de Pavel Durov y el mapa de España, representando el debate jurídico sobre el uso masivo de datos personales y poder de plataforma.

Cuestiones jurídicas y políticas en torno a un mensaje masivo de Pavel Durov por Telegram

/0 Comentarios/en /por

I. El hecho que origina la reflexión

La noticia llegó sin previo aviso ni solicitud de permiso. Millones de usuarios de Telegram residentes en España encontraron en sus dispositivos un mensaje que no procedía de ningún contacto personal, ni de un canal al que hubieran decidido suscribirse, ni siquiera de una notificación de servicio habitual. El remitente era el propio Pavel Durov, fundador y director ejecutivo de la plataforma, quien había decidido utilizar la infraestructura de mensajería para dirigirse directamente a una audiencia geográficamente segmentada con un contenido que trascendía claramente la mera información técnica o administrativa. El mensaje versaba sobre la propuesta del presidente del Gobierno español, Pedro Sánchez, de limitar el acceso a redes sociales para menores de 16 años, y planteaba argumentos en contra de dicha medida.

Este hecho, aparentemente aislado, abre una serie de cuestiones jurídicas de extraordinaria complejidad que trascienden el caso concreto. No se trata únicamente de determinar si el contenido del mensaje era acertado o equivocado desde una perspectiva política o pedagógica. El verdadero problema reside en el modo de transmisión, en el quién que habla, en el cómo se selecciona la audiencia y en el para qué se movilizan recursos técnicos y datos personales. La reflexión que sigue no pretende tomar partido por ninguna de las posiciones políticas en juego, sino examinar con rigor las implicaciones jurídicas de un fenómeno que ilustra la mutación del poder en la era digital.

II. La naturaleza del mensaje y la arquitectura de la plataforma

Para comprender la gravedad del asunto, conviene detenerse primero en las características técnicas del envío. Telegram no es una red social al uso, diseñada para la publicación de contenidos que el usuario busca activamente o al que se suscribe mediante un acto voluntario de seguimiento. Es, ante todo, un sistema de mensajería directa, concebido para la comunicación interpersonal o la recepción de información en canales optativos. Esta diferencia arquitectónica no es meramente descriptiva; tiene consecuencias jurídicas relevantes. Cuando un ciudadano abre Facebook o Twitter, asume que está entrando en un espacio de exposición pública o semipública, donde los algoritmos seleccionan contenidos y donde la publicidad política está regulada, al menos en teoría. Pero cuando abre Telegram, espera encontrar mensajes de sus contactos, de grupos en los que ha decidido participar o, como mucho, avisos técnicos de la propia plataforma sobre actualizaciones de seguridad o nuevas funcionalidades.

El mensaje de Durov irrumpió en este espacio de comunicación presumiblemente privada o controlada sin mediación de elección alguna por parte del receptor. No hubo opt-in, no hubo suscripción previa, no hubo siquiera la posibilidad de anticipar que el canal oficial de notificaciones de la plataforma —aquella vía que el usuario entiende reservada para comunicaciones de servicio— sería utilizado para la transmisión de argumentación política. Debe tenerse presente que esta intrusión no es comparable a la recepción de un correo publicitario en una cuenta de email, donde el usuario ha facilitado su dirección y donde la publicidad, aunque molesta, se inscribe en una lógica comercial esperada. Aquí estamos ante algo distinto: el uso de datos de geolocalización y de condición de usuario activo en territorio español para la inserción de un contenido ideológico en un canal que el destinatario no puede desactivar sin renunciar a recibir notificaciones esenciales del servicio.

III. El problema del consentimiento y la base jurídica en el Reglamento General de Protección de Datos

El núcleo duro del análisis jurídico reside en la conformidad de esta práctica con el Reglamento General de Protección de Datos. El artículo 6 del Reglamento exige que todo tratamiento de datos personales cuente con una base jurídica que lo legitime, ya sea el consentimiento del interesado, la ejecución de un contrato, el cumplimiento de una obligación legal, la protección de intereses vitales, la misión de interés público o el interés legítimo del responsable. En el caso que examinamos, la utilización de la ubicación geográfica de los usuarios y de su condición de residentes en España para segmentar el envío del mensaje constituye, indudablemente, un tratamiento de datos personales. La cuestión es determinar sobre qué base jurídica se sustenta.

Telegram podría argumentar que el tratamiento se ampara en la ejecución del contrato de prestación de servicios, entendiendo que la comunicación con los usuarios forma parte de la relación contractual. Sin embargo, esta tesis encuentra un obstáculo insalvable: la finalidad del tratamiento. La ejecución de un contrato no puede servir de cobertura jurídica para finalidades que no guardan relación directa con la prestación del servicio objeto del acuerdo. Cuando un operador de telecomunicaciones envía una factura o una notificación de incidencia técnica, actúa dentro del mar contractual. Pero cuando utiliza la misma infraestructura para influir en un debate legislativo nacional, está dando un salto cualitativo que excede con creces los límites de la prestación de servicios de mensajería.

También podría invocarse el interés legítimo del responsable, reconocido en el artículo 6.1.f del Reglamento. No obstante, este interés debe conciliarse con los derechos y libertades fundamentales de los interesados, y debe ser ponderado mediante un test de tres pasos: la finalidad debe ser legítima, el tratamiento debe ser necesario para dicha finalidad, y debe prevalecer el interés del responsable sobre los derechos del afectado. En nuestro caso, la finalidad —participar en un debate político nacional utilizando la infraestructura propia— es, cuanto menos, discutible como legítima en el contexto de una relación de consumo de servicios digitales. La necesidad del tratamiento es igualmente cuestionable, pues existen medios alternativos para expresar opiniones políticas que no impliquen la utilización de datos personales de millones de usuarios. Y en cuanto a la ponderación, resulta difícil sostener que el interés de un empresario en influir en la legislación española prevalezca sobre el derecho de los usuarios a no ser receptores cautivos de comunicaciones políticas no solicitadas.

El consentimiento, por su parte, parece ausente en su forma más exigente. El Reglamento demanda un consentimiento libre, específico, informado e inequívoco. Los usuarios de Telegram no consintieron expresamente la recepción de mensajes políticos del fundador cuando aceptaron las condiciones de servicio. Las cláusulas contractuales generales que autorizan a la plataforma a enviar «comunicaciones» no pueden interpretarse como un blank check para la utilización de la infraestructura con fines ideológicos. Hay que reseñar que el Tribunal de Justicia de la Unión Europea ha reiterado en múltiples ocasiones que el consentimiento debe entenderse restrictivamente y que no puede confundirse con la mera aceptación de condiciones generales.

IV. La reutilización de datos y la analogía del operador neutral

Para ilustrar la problemática, resulta útil recurrir a una analogía con sectores regulados tradicionalmente. Imaginemos que Correos, empresa pública que gestiona la infraestructura postal, decidiera utilizar su base de datos de destinatarios para enviar a todos los hogares españoles un folleto argumentando en contra de una reforma legislativa que afectara a su sector. Incluso dejando de lado la condición pública de la entidad, la utilización de información de clientes —direcciones postales, hábitos de recepción— para fines de influencia política constituiría una vulneración flagrante de los principios de protección de datos. El ciudadano confía su dirección al operador postal para recibir correspondencia, no para convertirse en destinatario de propaganda política segmentada.

Otra analogía puede servir para clarificar el problema. Consideremos un operador de telecomunicaciones que ofrece servicios de telefonía móvil. Este operador mantiene una posición de «neutralidad de red» en el sentido de que se limita a transmitir las comunicaciones de sus clientes sin interferir en el contenido. Si dicho operador decidiera enviar un mensaje de texto masivo a todos sus usuarios en territorio español para posicionarse en un debate político, estaría traspasando los límites de su función técnica y comercial. Lo anterior me sugiere que las plataformas de mensajería instantánea, aunque no estén sujetas a la regulación de operadores de telecomunicaciones tradicionales, deberían observar estándares similares de neutralidad respecto de los contenidos que no forman parte del servicio contratado.

La comparación con Correos o con un operador de telecomunicaciones que se mantiene «memoryless» —es decir, que no explota la información de tráfico para otros fines— ilustra la idea de que el intermediario no debería utilizar su posición privilegiada para usos diferentes a la mera prestación del servicio, salvo que el usuario lo haya consentido de forma clara y separada. La reutilización de datos de geolocalización y de uso de la plataforma para fines políticos representa precisamente esa transgresión de los límites funcionales del servicio.

V. La frontera entre comunicación corporativa y activación política

Una de las cuestiones más delicadas que plantea este caso es la determinación del momento en que una comunicación de servicio se transforma en activación política. Las empresas, incluidas las plataformas digitales, tienen legítimamente derecho a informar a sus usuarios sobre cuestiones que afectan a su actividad. Un aviso sobre cambios en las condiciones de servicio, una alerta sobre vulnerabilidades de seguridad o una notificación sobre modificaciones regulatorias que impacten en la funcionalidad de la aplicación entran dentro de lo razonable y esperable. Incluso una comunicación explicando los riesgos que una determinada regulación podría entrañar para la continuidad del servicio podría considerarse legítima, siempre que se mantenga en un tono informativo y técnico.

Sin embargo, el mensaje de Durov traspasó esa línea divisoria. No se limitó a informar sobre la propuesta legislativa ni a explicar sus posibles efectos técnicos en la operativa de Telegram. Fue, en esencia, un argumentario en contra de la medida, formulado en términos que buscaban movilizar la opinión de los receptores y, presumiblemente, influir en el proceso político de toma de decisiones. Entiendo que esta distinción es crucial: no es lo mismo alertar a los usuarios de que una ley podría obligar a modificar el funcionamiento de la aplicación, que utilizar el canal de notificaciones para instar a la oposición a dicha ley.

El Reglamento de Servicios Digitales, aplicable desde 2024, introduce obligaciones de transparencia y de gestión de riesgos para las plataformas muy grandes, pero no regula expresamente este tipo de comunicaciones corporativas con contenido político. No obstante, sus principios generales de transparencia y de respeto a los derechos fundamentales de los usuarios pueden interpretarse en el sentido de que las plataformas deben mantener una cierta neutralidad respecto de los debates políticos nacionales, especialmente cuando utilizan datos personales para segmentar sus comunicaciones. La frontera entre un aviso de servicio al cliente y el uso de la infraestructura para influir en la opinión pública es, en este caso, particularmente difusa, y esa opacidad genera inseguridad jurídica.

VI. El poder de plataforma como poder normativo de facto

Más allá de las cuestiones estrictamente vinculadas a la protección de datos, el caso Durov ilustra un fenómeno de mayor calado: la transformación del poder tecnológico en poder político. Cuando el fundador de una plataforma con cientos de millones de usuarios puede, con un simple gesto técnico, llegar a millones de dispositivos en un país específico para posicionarse en un debate legislativo, está ejerciendo una forma de poder que no se ajusta a las categorías tradicionales del Derecho constitucional ni del Derecho administrativo. No es un poder público, legitimado democráticamente. No es tampoco un poder privado convencional, sometido a las reglas de la competencia y del mercado. Es algo distinto, que los estudiosos de la gobernanza digital han denominado «poder de plataforma».

Este poder es normativo en el sentido de que configura las posibilidades de acción de los ciudadanos, establece los términos de la comunicación pública y, en última instancia, puede condicionar los procesos de formación de la voluntad política. Cuando Durov envía su mensaje, no está ejerciendo su libertad de expresión en condiciones de igualdad con otros ciudadanos. Está aprovechando una asimetría estructural: el acceso privilegiado a una infraestructura de comunicación que sus receptores no pueden evitar sin renunciar a un servicio que, en muchos casos, utilizan para su vida personal y profesional cotidiana.

La neutralidad de las plataformas frente a los poderes públicos es, en este contexto, un valor jurídico discutible pero necesario. No se trata de exigir a las empresas tecnológicas que carezcan de opinión o que se abstengan de participar en los debates públicos. El problema surge cuando esa participación se realiza utilizando recursos que derivan de una posición de dominio estructural, y cuando se dirige a una audiencia cautiva que no ha elegido recibir esos mensajes. Ello me obliga a deducir que estamos ante una forma de poder que requiere de mecanismos de rendición de cuentas y de limitación, análogos en alguna medida a los que se aplican a los poderes públicos.

VII. La opacidad en la selección de destinatarios y el principio de transparencia

Un elemento adicional de preocupación reside en la falta de claridad sobre los criterios de segmentación del mensaje. No todos los usuarios de Telegram en España recibieron la comunicación de Durov, aunque muchos de ellos llevan años utilizando la plataforma. Esta selectividad, lejos de ser aleatoria, sugiere la existencia de algún tipo de algoritmo o criterio de segmentación cuya lógica no ha sido revelada. ¿Se dirigió el mensaje solo a usuarios activos en los últimos 30 días? ¿A aquellos con determinadas características de uso? ¿A los que habían interactuado con canales políticos previamente? La opacidad respecto de estos criterios agrava la problemática jurídica, porque impide a los afectados comprender por qué han sido seleccionados como receptores de una comunicación política.

El principio de transparencia, consagrado en el artículo 5 del Reglamento General de Protección de Datos, exige que los interesados sean informados de las finalidades del tratamiento y de la lógica que subyace a las decisiones automatizadas que les afectan. Si la selección de destinatarios respondió a un perfilado basado en datos de comportamiento, ubicación o uso de la aplicación, los usuarios tendrían derecho a conocer los criterios aplicados y, en su caso, a oponerse a dicho tratamiento. La falta de información al respecto constituye una vulneración de este principio fundamental.

Considero que esta opacidad no es un defecto menor, sino un síntoma de una gobernanza de datos insuficiente. Las plataformas han construido arquitecturas técnicas que permiten una granularidad extrema en la segmentación de audiencias, pero no han desarrollado paralelamente mecanismos de rendición de cuentas que hagan transparentes esas prácticas. Cuando el segmento seleccionado son millones de ciudadanos de un país determinado para recibir un mensaje político, la exigencia de transparencia adquiere una dimensión constitucional relevante.

VIII. Las posiciones en el debate: entre la libertad empresarial y la protección del usuario

El análisis de este caso no estaría completo sin referencia a las distintas posiciones que el mismo ha suscitado en la comunidad jurídica y tecnológica. Por un lado, encontramos posturas que relativizan la gravedad del hecho. Se argumenta que Telegram es una plataforma privada y que, como cualquier otro medio de comunicación —prensa, televisión, radio— tiene derecho a utilizar su arquitectura para difundir mensajes, incluso de carácter político. Desde esta perspectiva, el usuario que no desea recibir tales comunicaciones puede ejercer su libertad de abandonar la plataforma. Esta visión enfatiza la libertad de expresión del empresario y la libertad de empresa, entendiendo que las restricciones al uso de la infraestructura propia constituirían una intromisión injustificada.

Por otro lado, se encuentran las posturas que subrayan la especificidad del poder de plataforma. Estas voces señalan que no es comparable el poder de un periódico, que el lector elige comprar o no, con el poder de una aplicación de mensajería que se ha convertido en infraestructura esencial de la comunicación cotidiana. La alternativa de «irse si no te gusta» es, en este contexto, una falsa libertad, porque el coste de abandono —pérdida de contactos, de historiales, de integración en comunidades profesionales o personales— es prohibitivamente alto para la mayoría de usuarios. Además, se destaca que ni siquiera existe la posibilidad de optar por no recibir este tipo de comunicaciones sin renunciar a las notificaciones esenciales del servicio.

Existen también posiciones intermedias que intentan enmarcar el mensaje de Durov como una forma de «servicio al cliente» o de alerta sobre riesgos regulatorios que afectarían a la propia plataforma. Sin embargo, esta interpretación encuentra dificultades para distinguir entre una información objetiva sobre cambios normativos y una argumentación política contra los mismos. La línea es tenue, pero discernible: un aviso técnico informa, una comunicación política persuade. El mensaje de Durov pertenecía claramente a esta segunda categoría.

IX. La tensión entre libertades en conflicto

El caso que analizamos pone de manifiesto una tensión fundamental entre libertades constitucionalmente protegidas que entran en colisión. Por una parte, la libertad de expresión de Pavel Durov, que incluye el derecho a expresar su opinión sobre cuestiones de interés público como la regulación de las redes sociales. Por otra, la protección de la intimidad y de los datos personales de los usuarios, que abarca el derecho a no ser objeto de comunicaciones no solicitadas que utilicen información personal para la segmentación. A ello hay que añadir la libertad de empresa, que ampara la gestión de la plataforma, y los derechos de los ciudadanos a una información plural y no condicionada por el poder asimétrico de los grandes operadores digitales.

La resolución de este conflicto no puede ser mecánica ni absolutista. No es admisible privilegiar indefinidamente la libertad de expresión del empresario sobre la protección de datos de millones de usuarios, ni tampoco es razonable imponer una neutralidad total que impida a las plataformas comunicarse con sus usuarios sobre cuestiones que les afectan. El Derecho, en estos casos, debe buscar una ponderación que preserve el núcleo esencial de cada libertad y limite sus manifestaciones excesivas.

En mi opinión, la solución pasa por establecer una clara separación entre los canales de comunicación de servicio y los canales de comunicación política o ideológica. Los usuarios deberían poder optar expresamente por recibir comunicaciones de este último tipo, y su silencio o inacción debería interpretarse en sentido contrario. Asimismo, la utilización de datos personales para segmentar comunicaciones políticas debería estar sometida a un estándar de consentimiento específico, informado y separado, que no puede cubrirse con las cláusulas generales de las condiciones de servicio.

X. Conclusiones

El mensaje de Pavel Durov a los usuarios españoles de Telegram, lejos de ser un incidente menor o una anécdota de la comunicación digital, constituye un caso paradigmático de las transformaciones que el poder está experimentando en la era de las plataformas. Nos enfrentamos a entidades privadas que concentran capacidades técnicas de comunicación masiva, segmentación precisa y llegada directa que superan ampliamente los medios tradicionales, y que pueden desplegar estas capacidades sin los contrapesos institucionales que limitan a los poderes públicos.

Desde la perspectiva del Derecho digital, este caso ejemplifica la necesidad de desarrollar marcos normativos que aborden específicamente el «poder de plataforma» como una categoría jurídica autónoma. El Reglamento General de Protección de Datos y el Reglamento de Servicios Digitales constituyen pasos importantes, pero insuficientes para abordar todas las dimensiones del problema. Necesitamos reglas claras sobre la utilización de datos personales para comunicaciones corporativas con contenido político, mecanismos efectivos de transparencia en los sistemas de segmentación de audiencias, y salvaguardas que garanticen que los usuarios no se conviertan en receptores cautivos de mensajes ideológicos no solicitados.

El riesgo último no es que un empresario concreto exprese su opinión sobre una regulación específica. El peligro real reside en la normalización de una práctica que difumina la frontera entre servicio de comunicaciones, medio de información y actor político con acceso privilegiado. Si legitimamos que los fundadores de grandes plataformas utilicen canales «obligatorios» o semi-oficiales para la transmisión de mensajes políticos, estaremos consolidando una forma de poder que escapa a los mecanismos democráticos de control y rendición de cuentas.

La reflexión final debe orientarse hacia la construcción de un espacio digital donde la libertad de expresión de todos —incluidos los empresarios de la tecnología— coexista con la protección de los derechos de los ciudadanos y con la preservación de la integridad de los procesos democráticos. Esto exige, en última instancia, que el Derecho evolucione al mismo ritmo que la tecnología, sin renunciar a sus principios fundamentales ni a su capacidad de proteger a los más vulnerables frente a las asimetrías de poder que caracterizan nuestra era digital.

XI. Referencias normativas y bibliográficas

1) Normativa de la Unión Europea

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos).

Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales).

Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico, en el mercado interior (Directiva sobre el comercio electrónico).

Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva de privacidad y comunicaciones electrónicas).

Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, relativo a un marco para la libre circulación de datos no personales en la Unión Europea.

Reglamento (UE) 2019/1150 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativo a la promoción de la equidad y la transparencia para los usuarios empresariales de servicios de intermediación en línea.

Carta de los Derechos Fundamentales de la Unión Europea, proclamada en Estrasburgo el 7 de diciembre de 2000.

2) Normativa del Estado español

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.

3) Documentos institucionales

Agencia de Derechos Fundamentales de la Unión Europea, Big Data: Discrimination by Design or by Default?, Publicaciones de la Unión Europea, Luxemburgo, 2019.

Agencia Española de Protección de Datos, Guía de privacidad por diseño y por defecto, Madrid, 2023.

Comisión Europea, Orientaciones sobre la aplicación del Reglamento (UE) 2022/2065 (Reglamento de Servicios Digitales), Bruselas, 2023.

Comisión Europea, Propuesta de Reglamento relativo a la prevención y la lucha contra el abuso sexual de menores en línea, COM(2022) 209 final, Bruselas, 11 de mayo de 2022.

Comité Europeo de Protección de Datos, Directrices 05/2020 sobre el consentimiento conforme al Reglamento (UE) 2016/679, versión 1.1, adoptadas el 4 de mayo de 2020.

Comité Europeo de Protección de Datos, Directrices 8/2020 sobre la orientación de la publicidad en las redes sociales, versión 1.0, adoptadas el 13 de abril de 2021.Defensor del Pueblo, Informe Anual 2023, Capítulo especial sobre protección de datos y plataformas digitales, Madrid, 2024.

Resumen:

El presente trabajo analiza el mensaje masivo enviado por Pavel Durov, fundador de Telegram, a los usuarios españoles de la plataforma en el contexto del debate sobre la limitación del acceso a redes sociales para menores de 16 años propuesto por el Gobierno de Pedro Sánchez. La investigación examina las implicaciones jurídicas de este uso de infraestructura privada con fines de influencia política, centrándose en el consentimiento informado, la reutilización de datos personales conforme al Reglamento General de Protección de Datos, la frontera entre comunicación corporativa y activación política, y la tensión entre neutralidad tecnológica y poder normativo de facto de las grandes plataformas digitales.

Sobre el autor

Diego Fierro Rodríguez es Letrado de la Administración de Justicia en ejercicio, Codirector de la Revista Acta Judicial y Doctorando en Derecho. Desarrolla su actividad profesional en el ámbito de la Administración de Justicia española, siendo actualmente el Jefe del Área penal del Servicio Común de Ejecución del Tribunal de Instancia de Málaga.

Sobre la publicación

Se han utilizado Google Gemini para la imagen y Google Gemini y Perplexity para recabar y contrastar toda la información disponible.

Diego Fierro Rodríguez
Letrado de la Administración de Justicia
Codirector de la Revista Acta Judicial
Doctorando en Derecho

Imagen congreso internacional derecho digital Enatic

Revive el XI Congreso Internacional de Derecho Digital de ENATIC

/0 Comentarios/en , /por

Explora todas las mesas y ponencias del evento jurídico de referencia en Derecho Digital en España. Una jornada intensa, con voces expertas y reflexiones de futuro sobre regulación, tecnología e impacto social. Todos los vídeos ya disponibles, organizados por bloques temáticos.

Leer más

RGPD & IA

/0 Comentarios/en /por

Acabábamos noviembre con un “provvedimento” del Garante al Grupo Editorial italiano Gedi indicándole que el acuerdo publicado con OpenAI en virtud del cual el primero compartirá los contenidos publicados “de forma prácticamente simultánea e inmediata” con el segundo, podría conculcar los arts. 9 (tratamiento de categorías especiales de datos), 10 (Tratamiento de datos personales relativos a condenas e infracciones penales), 13 (Información que deberá facilitarse cuando los datos personales se obtengan del interesado), 14 (Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado) del RGPD.

Y esto es así a ojos de la autoridad de protección de datos italiana que, con motivo de la publicación del mencionado acuerdo, inició una investigación de oficio ya que:

  1. los tratamientos de datos afectados implican un gran volumen de datos personales, que pueden incluir datos de categorías especiales de datos y datos relativos a condenas e infracciones penales;
  2. la Evaluación de impacto aportada por el Grupo editorial establece como base de legitimación para tal cesión el interés legítimo, no quedando clara la base de legitimación en lo relativo a las categorías especiales de datos involucradas;
  3. los titulares de los datos cuyos datos se cederán en el marco de este acuerdo no pueden esperar razonablemente dicha comunicación;
  4. los contenidos añadidos a las políticas de privacidad para facilitar la información de protección de datos “no parece suficiente para considerar cumplida la obligación de transparencia establecida en los artículos 13 y 14 del Reglamento, dado que hasta la fecha dicho párrafo aún no ha sido publicado (por ejemplo, la declaración de política de privacidad de La Repubblica se ha actualizado a diciembre de 2023) y que se dirige a los usuarios registrados en los periódicos mencionados y no a los interesados cuyos datos se comunican a OpenAI” y finalmente, señala el Garante que parece que GEDI no esté en condiciones de garantizar los derechos de los interesados y en particular su derecho de oposición.

Seguimos en diciembre y el día 17 el Comité europeo de protección de datos publicaba su dictamen sobre «ciertos aspectos de la protección de datos relacionados con el tratamiento de datos personales en el marco de los modelos de inteligencia artificial«), en particular sobre aspectos con motivo de la solicitud realizada por la autoridad de protección de irlandesa de un posicionamiento común (a la que cómo veremos, el Garante había transferido algunos asuntos de especial calado en el marco de su investigación sobre ChatGPT).

La opinión resulta interesante, aunque en varias cuestiones nos remite al ya conocido análisis «caso a caso». Sin perjuicio de ello, nos da detalle de i) cómo determinar si un modelo de IA debe estar sujeto al RGPD, cuándo y qué factores nos llevarían a ello, ii) el uso del IL como base de legitimación para el entrenamiento y el uso de los modelos de IA; y «concluye» abordando, para tres únicos supuestos, si la ilicitud del tratamiento de datos para el entrenamiento de modelos IA «contamina» o no los usos posteriores.

Para la primera cuestión, señala el Comité que no es posible considerar, como regla general, que todos los modelos de IA sean anónimos, sino que será necesario hacer esa evaluación caso por caso teniendo en cuenta, si los datos personales pueden ser extraídos o no, y si el resultado producido por el modelo podrá o no relacionarse de nuevo con los titulares cuyos
datos se utilizaron para el entrenamiento. Y después de leerlo, parece que esto va a ir de valorar si es posible o no a través del modelo la reidentificación y cuán difícil puede resultar. Facilita el Comité elementos para evaluar esa posibilidad e incluso nos da «pistas» sobre la documentación necesaria a mantener para acreditar tal aspecto.

Para la segunda y tercera cuestión, el interés legitimo y su utilización como base de legitimación para el entrenamiento de los modelos -teniendo en cuenta que los datos pueden haberse obtenido tanto del propio titular como a través de terceros-, y el posterior uso, se remite el comité a cuestiones generales que conocemos de informes y opiniones precedentes. Así nos recuerda los 3 requisitos de esta base de legitimación (identificación, evaluación de la necesidad del tratamiento y test de sopesamiento); señala y ejemplifica las afectaciones a derechos fundamentales de estos tratamientos; y finaliza este apartado haciendo, a nuestro juicio especial énfasis, en la información a los titulares de los datos y a su expectativa razonable.

Finaliza su opinión el Comité, como os decíamos, planteando tres escenarios que parten de un tratamiento ilegítimo de datos para el entrenamiento de un modelo que, no siendo anónimo, posteriormente, usa el mismo responsable del tratamiento u otro y un último caso en el que, si bien el responsable del tratamiento que desarrolla el modelo lo hace de manera ilícita desde el punto de vista del RGPD, lo anonimiza y es solo después de esa anominización, que se da el uso por parte de otro responsable del tratamiento.

Sin duda, esta opinión requerirá de varias lecturas pero en esta primera, nos quedamos con lo siguiente: i) recuerda el Comité a las autoridades de protección de datos sus poderes no solo sancionadores sino también correctivos; ii) señala que la valoración deberá hacerse caso a caso y iii) si bien para los dos primeros supuestos habrá que estar a la responsabilidad proactiva y la necesidad de que el responsable que esté tratando los datos pueda asegurar en todo caso la legitimidad del tratamiento, en el último, el segundo responsable no se contamina de la ilicitud del primero siempre que haya mediado esa anomización. A no olvidar que el tratamiento posterior en el que se incluya como medio del tratamiento el modelo anónimo, si incluye datos personales, deberá cumplir con el RGPD.

Y finalmente, solo tres días después de esta opinión, vuelve a publicar el Garante. En este caso, la sonadísima resolución sobre OpenAI y su servicio de ChatGPT. Este expediente se inició por parte del Garante de oficio con motivo de la noticia de prensa en la que se señalaba que ChatGPT había tenido problemas técnicos y que usuarios podían visualizar “la cronología de los títulos de los chats de otros usuarios”.

En el marco de tal procedimiento, recordamos todos la medida cautelar establecida por el Garante en marzo de limitación en territorio italiano del servicio, medida que se levantó en abril bajo la condición de adopción por parte de OpenAI de medidas idóneas para garantizar la adecuación del tratamiento con el RGPD. Pues bien, el pasado día 20, la autoridad italiana ha publicado su resolución en la que reprocha a OpenAI y su servicio de ChatPGT:

  1. Incumplimiento de la obligación de comunicación de brechas de datos personales (art. 33 RGPD): a pesar de haber comunicado la brecha a la autoridad irlandesa, el Garante considera que se ha infringido el art. 33 RGPD ya que debería haberse comunicado a la autoridad italiana.
  2. Falta de licitud del tratamiento: considera el Garante que OpenAI no había individualizado durante el entrenamiento del ChatGPT la base jurídica necesaria para el tratamiento de datos que implicaba (arts. 5 y 6 RGPD). Importante señalar que el Garante no se manifiesta sobre si el interés legítimo es la base adecuada para el tratamiento de entrenamiento de los modelos, cuestión que traslada a la autoridad principal (autoridad de protección de datos irlandesa).
  3. Incumplimiento del deber de información (arts. 5.1.a, 12 y 13 RPGD). Señala el Garante que i) la política informativa únicamente estaba en inglés, ii) no resultaba fácil su localización, iii) no permitía su lectura antes del registro y iv) las referencia a la mejora del servicio no podían entenderse como información sobre la “específica, peculiar e innovativa finalidad de entrenamiento de modelos de IA generativa”, por lo que, considera que resulta del todo insuficiente en relación con los usuarios. Adicionalmente, considera el Garante que para los no usuarios cuyos datos se han utilizado para el entrenamiento del modelo, si bien la información publicada por OpenAI era mucha y técnicamente relevante, no sirve para el cumplimiento del art. 12 y 13 ya que los usuarios no tendrían porqué sentirse interpelados por los mismos y acceder a ellos. Con ello, considera el Garante que ante la ausencia de información no solo se conculcan las obligaciones específicas de información sino el propio principio de transparencia que va muchas más allá.
  4. Ausencia de mecanismos de verificación de la edad (arts. 8, 24 y 25 del RGPD). Entiende el Garante que la propia sociedad preveía en sus términos legales la posibilidad de utilización del servicio por menores de 13 a 18 años para lo cual preveía la necesidad de la autorización del tutor legal y, sin embargo, no había previsto ningún mecanismo para verificar ese permiso de los tutores.
  5. Inexactitud de los datos (art. 5.1 RGPD): entiende el Garante que la naturaleza probabilística del sistema pero concluye que ello no exime a la sociedad de cumplir con el principio de exactitud. Reproduce las medidas implementadas por OpenAI para mejorar la exactitud del modelo durante el procedimiento y concluye que, estando lejos de resolverse y atendiendo al mecanismo de ventanilla única, pasa la cuestión a la autoridad irlandesa.
  6. Falta de cumplimiento de la medida correctiva de campaña informativa a convenir con la autoridad (art. 83.5.d RGPD): entiende el Garante que la campaña realizada por OpenAI no cumple con lo requerido por la autoridad ya que i) no ha sido acordada con el Garante, ii) no resulta idónea (medios elegidos, modalidades de comunicación, tiempo limitado de la misma para llegar al público en general).

Resuelve el Garante con imposición de una sanción de 15 millones de euros y la obligación de realización de la campaña divulgativa.

Importantísimo, y a la espera quedamos de la resolución de las cuestiones que el Garante reenvía a la autoridad irlandesa en relación con el uso del interés legítimo como base de legitimación para el entrenamiento de modelo y el cumplimiento del principio de exactitud en el marco de estas tecnologías. Como veis, lectura asegurada para el 2025.

Esther García Encinas
Abogado senior en Privacidad, Inteligencia Artificial y Contratación Mercantil en CaixaBank

“Accountability: necesita mejorar”

/0 Comentarios/en /por

Cuando nos vamos acercando a los cuatro años de la fecha de 25 de mayo de 2018, en la que comenzó la aplicación del Reglamento General de Protección de Datos (RGPD), podríamos hacer diferentes valoraciones con relación a su puesta en marcha. Aprovecho este post del blog de ENATIC para reflexionar en relación a una de las novedades más relevantes que nos trajo nuestro querido Reglamento.

Profesionalmente me dedico desde el año 2002 a ser “protector de datos” y la percepción es que se había de poner al día la Directiva del 95, pero todos somos conocedores que ya teníamos un corpus jurídico de protección de datos con la LOPD del 1999. Por esto, creo que tenemos que evaluar las novedades que nos trajo el Reglamento y cuál ha sido el grado de acomodación y cumplimiento en estas novedades normativas.

Personalmente, y muchos de los lectores lo pueden confirmar, creo que uno de los puntos más innovadores fue la puesta en marcha del principio de “accountability” o rendición de cuentas o de “responsabilidad proactiva”. También considero que es uno de los aspectos que menos se está interiorizando y aplicando de manera rigurosa por los responsables de tratamiento (o encargados de tratamiento).

El RGPD lo establece con carácter de principio en el art. 5.2 de su articulado. He asistido a múltiples debates en los que se discutía: ¿es una obligación? ¿es un principio?… Por supuesto que es un principio, pero de cierta naturaleza especial ya que es un principio que nos debe ayudar a cumplir con los principios de tratamiento de datos del art. 5.1 RGPD.

No voy a definir el principio de responsabilidad proactiva, pero  me gusta simplificarlo así: tengo que cumplir con el RGPD (vaya obviedad…) y tengo que poder demostrar que estoy cumpliendo.  En relación a su estricto cumplimiento os planteo mis dudas sobre el grado de cumplimiento que, la mayoría de obligados a cumplir el RGPD, puedan acreditar debidamente este principio de “accountability”.

Probablemente sean diversos factores los causantes de este “necesita mejorar”: desde la novedad normativa, pasando por el entorno cultural del sur de Europa y acabando en la falta de adecuadas metodologías por parte de los expertos en protección de datos que dan soporte a los obligados. Tuve la oportunidad en 2019 de llevar a cabo una estancia de investigación en una Universidad de Londres y os puedo confirmar  como la literatura científica, el conocimiento y la “impregnación” del “accountability” anglosajona era muy diferente al que se podía contrastar en nuestro territorio.

El marco que teníamos con la LOPD de 1999 y su Reglamento de Desarrollo no establecía un marco especialmente “accountability friendly”, y a pesar de disponer de algunas guías de referencia como por ej la opinión 3/2010 del GT del art. 29 sobre el referido principio, podría confirmar sin temor a equivocarme, que era la responsabilidad activa era un gran desconocido.

Tampoco voy a aportar ninguna “poción mágica” para dar cumplimiento a la “accountability”… y por supuesto la naturaleza, sector de la entidad, diversidad de tratamientos, etc. pueden determinar diversidad de formas de acreditación. No tenemos un conjunto de acciones o medidas estándares, sino que como expertos en protección de datos tenemos que ofrecer soluciones a nuestros clientes garantes con este principio.

Sensibilizar con este principio no es suficiente, sino que tenemos que ser capaces de poder “medir” con parámetros objetivos el grado de cumplimiento, documentar ese cumplimiento y verificar periódicamente su grado de adecuación.

Hemos de conectar necesariamente la “accountability” con el cumplimiento de la protección de datos desde el diseño y por defecto (tal vez otro gran desconocido y en que se puede hacer exacta reflexión). Probablemente nos encontramos con los puntos clave para poder establecer un grado de excelencia en relación al marco de adecuación al RGPD. En este sentido, os dejo la siguiente pregunta: ¿tenemos elementos objetivos medibles y concretos para verificar, por ejemplo, la protección de datos por defecto? Os invito a hacer un inventario de acciones auditables del 1 al 10 y ver el grado de cumplimiento en la mayoría de los obligados.

Este post sólo pretende reflexionar sobre la necesidad de mejorar y ofrecer soluciones adecuadas a los obligados y que la cultura “accountability” se establezca de forma natural en los empresas, organizaciones y administraciones obligadas a cumplir con el mismo.

Jordi Ferrer Guillén
Socio Director de Cyberlaw Consulting
Profesor Adjunto – Departamento Operaciones, Innovación & Data Sciences de la ESADE
Vocal de ENATIC

Directrices 07/2020 del EDPB sobre los conceptos de responsable y encargado del tratamiento en el RGPD

/0 Comentarios/en /por

El CEPD (EDPB, en inglés) ha publicado recientemente las Directrices 07/2020 sobre los conceptos de responsable y encargado del tratamiento en el RGPD, versión 1.0, adoptada el 2 de septiembre de 2020. El texto completo se puede encontrar aquí.

Estas Directrices estuvieron abiertas a consulta pública de septiembre a octubre de 2020 y el CEPD recibió más de un centenar de documentos con comentarios. Los mismos están disponibles en línea en la web del CEPD. Es probable que se publique una nueva versión a corto plazo pero, mientras tanto, los profesionales de la privacidad a menudo recurrimos a estas relevantes Directrices en busca de orientación para resolver asuntos complejos de nuestros clientes relacionados, entre otras cosas, con las relaciones entre grupos de empresas.

Las Directrices son extraordinariamente largas y detalladas (48 páginas).  Ofrecemos aquí nuestra selección de las pautas que ofrecen información relevante para entornos de grupos de empresas:

  • (…) Los conceptos de responsable del tratamiento, corresponsables y encargado del tratamiento son conceptos funcionales en el sentido de que tienen como objetivo asignar responsabilidades de acuerdo con los roles reales de las partes y son conceptos autónomos en el sentido de que deben interpretarse principalmente de acuerdo con la normativa europea de protección de datos.
  • En principio, no existe limitación en cuanto al tipo de entidad que puede asumir el rol de responsable, pero en la práctica suele ser la organización como tal, y no un individuo dentro de la organización (como el CEO, un empleado o un administrador), que actúa como responsable. Un responsable del tratamiento es un organismo que decide determinados elementos clave del tratamiento.
  • La condición de responsable puede estar definida por ley o puede provenir de un análisis de los elementos fácticos o circunstancias del caso. Ciertas actividades de tratamiento pueden verse naturalmente vinculadas al rol de una entidad (un empresario para los empleados, un editor para los suscriptores o una asociación para sus miembros). En muchos casos, los términos de un contrato pueden ayudar a identificar al responsable del tratamiento, aunque no son decisivos en todas las circunstancias.
  • Un responsable determina los fines y los medios del tratamiento, es decir, el por qué y el cómo del tratamiento. El responsable del tratamiento debe decidir sobre estos aspectos. Sin embargo, algunos aspectos más prácticos de la implementación («medios no esenciales») pueden dejarse al encargado. No es necesario que el responsable del tratamiento tenga realmente acceso a los datos que se están procesando para ser calificado como responsable del tratamiento.
  • Puede haber situaciones en las que varios actores traten sucesivamente los mismos datos personales en una cadena de operaciones, teniendo cada uno de estos actores un propósito independiente y medios independientes en su parte de la cadena. En ausencia de una participación conjunta en la determinación de los fines y medios de la misma operación de tratamiento o conjunto de operaciones, debe excluirse la corresponsabilidad y los diversos actores deben considerarse como responsables independientes sucesivos.
  • El tratamiento de datos personales puede implicar a múltiples encargados. Por ejemplo, un responsable puede optar por involucrar directamente a múltiples encargados o involucrar a diferentes encargados en etapas separadas del tratamiento (múltiples encargados). Un responsable también puede decidir contratar a un encargado, quien a su vez, con la autorización del responsable, contrata a uno o más encargados (“subencargados”). La actividad de tratamiento confiada al encargado puede estar limitada a una tarea o contexto muy específico o puede ser más general y extensa.
  • Una entidad separada significa que el responsable decide delegar todas o parte de las actividades de tratamiento a una organización externa. Dentro de un grupo de empresas, una empresa puede ser un encargado de otra empresa que actúa como responsable, ya que ambas empresas son entidades independientes.
  • Si el responsable del tratamiento decide tratar los datos por sí mismo, utilizando sus propios recursos dentro de su organización, por ejemplo, a través de su propio personal, ésta no es una situación del encargado.
  • El tratamiento de datos personales en nombre del responsable requiere, en primer lugar, que la entidad tercera trate los datos personales en beneficio del responsable. En el artículo 4 (2), el tratamiento se define como un concepto que incluye una amplia gama de operaciones que van desde la recopilación, el almacenamiento y la consulta hasta el uso, la difusión o la puesta a disposición y la destrucción. En la práctica, esto significa que todo tratamiento imaginable de datos personales constituye un tratamiento.
  • El tratamiento debe realizarse en nombre de un responsable, pero de otra manera que bajo su autoridad o control directo. Actuar «en nombre de» significa servir a los intereses de otra persona y recuerda el concepto legal de «delegación». En el caso de la legislación de protección de datos, un encargado está llamado a implementar las instrucciones dadas por el responsable al menos con respecto al fin del tratamiento y los elementos esenciales de los medios.
  • La licitud del tratamiento de acuerdo con el Artículo 6 y, en su caso, el Artículo 9 del Reglamento, se derivará de la actividad del responsable y el encargado no debe tratar los datos de otra manera que de acuerdo con las instrucciones del responsable. Aun así, como se describió anteriormente, las instrucciones del responsable aún pueden dejar cierto grado de discreción sobre cómo servir mejor a los intereses del responsable, permitiendo que el encargado elija los medios técnicos y organizativos más adecuados.

Por último, resulta muy útil la consulta del diagrama de flujo en el Anexo I (Diagrama de flujo para aplicar los conceptos de responsable, encargado y corresponsables en la práctica) pues puede ayudar a analizar un escenario complejo, por ejemplo, el caso de un grupo de empresas de estructura  sofisticada y sus operaciones de tratamiento y flujos de datos.

Belén Arribas Sánchez
Vicepresidenta de ENATIC

Dilema asiático entre privacidad y seguridad sanitaria: ¿se debe cuestionar al RGPD en el contexto pandémico?

/0 Comentarios/en /por

El pasado 25 de mayo se cumplió el tercer aniversario de la entrada en aplicación del Reglamento General de Protección de Datos[1] (en adelante, RGPD), efeméride que se produjo por segundo año consecutivo en un contexto de pandemia global. No hubo muchos motivos para la celebración, sino más bien todo lo contrario, la emergencia sanitaria ha tensionado durante el último año a los fundamentos de los Estados democráticos y de derecho europeos hasta extremos impensables. El estándar europeo de protección de datos y privacidad, además, ha sido cuestionado y situado ante el espejo de sus modelos antagónicos asiáticos.

El filósofo y pensador alemán, de origen surcoreano, Binyung-Chul Han, es quien ha interpretado con mayor nitidez, y se podría añadir pesimismo, esta imagen distorsionada y desdibujada de una Europa que se sitúa ante el dilema de ganar mayor eficacia y eficiencia en la lucha sanitaria contra el virus en detrimento de las libertades y valores de las que ha sido estandarte mundial. En sus propias palabras:

«La covid-19 probablemente no sea un buen presagio para Europa y Estados Unidos. El virus es una prueba para el sistema. Los países asiáticos, que creen poco en el liberalismo, han asumido con bastante rapidez el control de la pandemia, especialmente en el aspecto de la vigilancia digital y biopolítica, inimaginables para Occidente. Europa y Estados Unidos están tropezando. Ante la pandemia, están perdiendo su brillo. Zizek ha afirmado que el virus derribará el régimen de China. Zizek está equivocado. Eso no va a pasar. El virus no detiene el avance de China. China venderá su estado de vigilancia autocrática como modelo de éxito contra la epidemia. Exhibirá por todo el mundo aún con más orgullo la superioridad de su sistema. La covid-19 hará que el poder mundial se desplace un poco más hacia Asia. Visto así, el virus marca un cambio de era.»[2]

A buen seguro es prematuro determinar si estamos en un cambio era, pero el régimen que Han denomina de «vigilancia biopolítica» con mayor o menor extensión ya ha llegado a la UE y a los Estados Unidos. Hasta ahora se podía observar gracias a las revelaciones del analista de la NSA, Edward Snowden, del caso del sargento Manning, o de las manipulaciones ideológicas de Cambridge Analytica. Estas y otras muchas vulneraciones han resquebrajado los principios de las democracias occidentales por motivos de seguridad nacional o por pura manipulación psicopolítica.

El paradigma de privacidad europeo materializado en el RGPD se había erigido como la reacción, en términos de derechos y libertades, contra esos abusos. Sin embargo, como señala el propio Han, la “virología” se superpone a la privacidad, y ya no solo interesan nuestras comunicaciones o nuestras opiniones en redes sociales, el objetivo es el control y disciplina de nuestro cuerpo, nuestro estado de salud, lo cual puede provocar una limitación de esos derechos y libertades, un abandono de la concepción liberal postrevolucionaria. 

La paradoja está en que hasta el inicio de la pandemia Europa acusaba a Estados asiáticos democráticos como Japón, Corea del Sur, Taiwán o Singapur de tener una mentalidad autoritaria, a la vez que unas sociedades con muy poca conciencia crítica ante la vigilancia electrónica. Mientras que China, y el convulso Hong Kong, se entendían como sometidos a una “dictadura digital”, y se podría añadir real.  Sin embargo, la digitalización, a través del Big Data, de la Inteligencia Artificial, el análisis de macrodatos, etc. permite salvar vidas. La falta del espíritu reivindicativo de las sociedades asiáticas se suple con un ahora admirado civismo.[3] Este es el gran dilema al que se enfrentan los europeos y los estadounidenses.

Alessandra Pierucci, presidenta del Comité de la Convención 108 y Jean-Philippe Walter, Comisionado de Protección de Datos del Consejo de Europa, haciéndose eco de la mencionada disyuntiva, afirman que la privacidad y la protección de datos no deben ser obstáculo para salvar vidas, pero recuerdan su carácter esencial y su vigencia:

«While it is crucial to make clear that data protection can in no way be an obstacle to save human lives, it is equally crucial to reaffirm that the exercise of human rights, and notably the rights to privacy and to data protection are still applicable. Data protection principles always allow for balancing the interests at stake. Convention 108 sets forth high standards for the protection of personal data which are compatible and reconcilable with other fundamental rights and relevant public interests. The principles enshrined in several international and national instruments cannot be suspended but only restricted in a lawful manner, and so for defined limited duration».[4]

Esta llamada a la ponderación de dos de los máximos garantes de la protección de datos en el ámbito continental europeo es sin duda un mal augurio. Las tentaciones de adoptar los modelos asiáticos, incluso los más «softs», sobrevuelan la tradicional cultura de derechos y libertades europea. El análisis de las aplicaciones de seguimiento de contactos COVID 19 en los países asiáticos nos conduce a diversas conclusiones.

En primer lugar, no sorprende que los sistemas digitales de seguimiento de contactos COVID, tales como «Alipay Health Code», de la República Popular China no sean adecuados a la normativa europea y a las recomendaciones de las instituciones europeas. La pandemia no ha hecho más que incrementar el control y la vigilancia de los usuarios chinos con información de carácter sanitario y con una mayor trazabilidad de sus movimientos. La no utilización de protocolos seguros, la ausencia de transparencia y la desviación de las finalidades, no son más que abusos a los derechos humanos, que no legitiman ni justifican, ni siquiera con un pragmatismo exacerbado, la grave injerencia en la privacidad y la protección de datos.  La brecha en garantía de derechos y libertades entre la UE y el gigante asiático se agranda aún más tras esta crisis global.

El caso de Hong Kong, región especial de China, es muy particular por los condicionantes jurídicos, políticos e históricos. A pesar de contar con una de las primeras normativas de protección de datos de la región su aplicación «StayHomeSafe» no es adecuada al RGPD ya que se basa en la localización a través del geoperimetraje del afectado. Este aplicativo es altamente intrusivo y no cuenta con las salvaguardas exigidas por la normativa europea. En este sentido, cabría plantearse si se está produciendo un retroceso en los elevados estándares de privacidad y protección de datos de los que Hong Kong había disfrutado. El contexto actual apunta a un intento del gobierno chino de recortar los derechos y libertades, esta involución estaría en la línea de los acontecimientos.

El caso de la aplicación «Corona 100» de Corea del Sur presenta las mismas problemáticas, incluso superiores que «StayHomeSafe» de Hong Kong. Esta democracia asiática, que está siendo objeto de escrutinio en cuanto a privacidad y protección de datos por la UE, ha adoptado una solución que tensiona los derechos y libertades de sus ciudadanos y que no es conforme a los principios del RGPD. Ambos supuestos, el de Hong Kong y Corea del Sur conducen a un concepto muy amplio de interés público, el cual entendería que el derecho a la vida es preferente a la privacidad. Aunque es un falso debate, ya que se puede lograr una alta eficiencia en la gestión sanitaria cumpliendo con elevados estándares de privacidad. A estos dos países hay que sumar Taiwán que igualmente ha aplicado mecanismos de trazabilidad con la ausencia de anonimización,  elementos a los que hay que añadir la obligatoriedad que estarían en contra del RGPD. Este país de especial estatus internacional, a pesar de contar con una normativa avanzada haría un uso desproporcionado de los datos personales de los usuarios de su aplicación «SafeEntry» no conforme con la legislación europea. La aplicación «PeduliLindungi» de Indonesia cuenta con mayores impedimentos, si cabe, que los anteriores aplicativos, pues el país, no cuenta con un contexto normativo de protección de datos homologable al de la UE, que pueda compensar las medidas invasivas y desproporcionadas como ocurre en Hong Kong o Corea del Sur.

En consecuencia, en los casos de China, Hong Kong, Taiwán, Corea del Sur e Indonesia se cumpliría la hipótesis de contar con aplicaciones de seguimiento de contacto COVID-19 no conforme con el RGPD. En el extremo contrario, es decir, que cuentan con aplicaciones que son adecuadas con la normativa de protección de datos de la UE, hallaríamos a Singapur y a Japón. El primero de estos países ha recibido tradicionalmente críticas de exceso de control y vigilancia digital, no obstante, su aplicación, «TraceTogether», cumpliría los requerimientos técnicos sustanciales que exigen las recomendaciones de las instituciones europeas. La misma afirmación es aplicable a COVID-19 Contact App, a un contexto homologado plenamente por la UE, se suma la utilización de la plataforma desarrollada por Apple y Google, API, que ha recibido la validación por la UE y EEUU.

Para finalizar, se puede concluir como la disminución de la privacidad y de la protección de datos personales no es lo que otorga una mayor eficiencia a la lucha contra la pandemia, sino un sistema sanitario lo suficientemente robusto para gestionar la información y efectuar las acciones que sean necesarias con la información que ofrecen las aplicaciones alineadas con el RGPD. Si atendemos a la finalidad principal de las aplicaciones, que es el seguimiento de contactos COVID-19 para prevenir la expansión de la pandemia, los exigentes requerimientos establecidos por la normativa europea no son ningún obstáculo o impedimentos para que se cumpla con la misma. Por tanto, es una falacia que el estado de vigilancia digital con deriva totalitaria asiático sea la clave del éxito, tal como señalaba Binyung-Chul Han. Por el contrario es la existencia sinérgica de sistemas de recopilación de la información preventivos y eficientes, que actúen de manera proporcional y con todas las garantías, con estrategias sanitarias públicas adecuadas a la situación de pandemia.

Josep Cañabate Pérez
Profesor de la Facultad de derecho – UAB, vocal ENATIC.

 

[1] El 25 de mayo 2018 se produjo la aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Diario Oficial de la Unión Europea (en adelante, DOE), L-119/1, de 5 de mayo de 2016, pp. 1-88.

[2] Han, Byung-Chul. «El virus es un espejo, muestra en qué sociedad vivimos». El Tiempo, 16/05/2020. Consultado el 9 de julio de 2020 desde

[3] Han,Byung-Chul.  Por qué a Asia le va mejor que a Europa en la pandemia: el secreto está en el civismo, El País, 25/10/2020. Consultado el 29 de octubre de 2020 desde https://elpais.com/ideas/2020-10-24/por-que-a-asia-le-va-mejor-que-a-europa-en-la-pandemia-el-secreto-esta-en-el-civismo.html?ssm=TW_CC.

[4] Comunicado conjunto emitido por parte de Alessandra Pierucci, Presidenta del Comité de la Convención 108 y Jean-Philippe Walter, Comisionado de Protección de Datos del Consejo de Europa respecto de derecho a la protección de datos en el contexto de la pandemia del COVID-19, de fecha, 30 de mayo de 2020. Consultado el 15 de mayo de 2020 desde https://www.coe.int/en/web/data-protection/statement-by-alessandra-pierucci-and-jean-philippe-walter.

6 pasos para sobrevivir al RGPD si eres autónomo o microempresa

/1 Comentario/en /por

Seguramente que durante el mes de mayo hayas sufrido una auténtica avalancha de correos pidiéndote el consentimiento para tratar tus datos personales o informándote      de cambios en la política de privacidad de la empresa de turno. Lo más probable es     que, harto de recibir correos parecidos o de que cada vez que entraras en una web se abriese un mensaje haciendo referencia a la nueva regulación de la protección de datos, hayas acabado borrando los correos sin siquiera leerlos. Por unos días, la cosa parecía habérsenos ido de las manos. El lado positivo de este fenómeno puede que haya sido  que nos haya empezado a preocupar esto de la privacidad y la protección de nuestros datos personales.

Ahora ha pasado el chaparrón (Más bien el diluvio universal) y ya es de aplicación el Reglamento General de protección de Datos (Entró en vigor en el mes de mayo de 2016, por más que muchos, en sus correos, se empeñasen convencernos de que entraba en vigor el 25 de mayo de este año). Hemos sobrevivido al anunciado Apocalípsis y es el momento de reflexionar y no pasar página como si este asunto solo fuese con las grandes empresas o se tratase de una moda pasajera. Puede que no llegases a tiempo a tener tus cosas en orden antes de esa fecha, cosa comprensible si eres una microempresa o un autónomo, teniendo en cuenta que ni nuestro Legislador aún no ha logrado redactar el texto definitivo de una ley que desarrolle el RGPD en España. Si ese es tu caso, habrá que ponerse manos a la obra para cumplir.

Los datos personales son un activo importante para cualquier empresa. Pero su tratamiento tiene una repercusión y genera unos riesgos para los titulares de tales datos hasta el punto de que el acceso ilegítimo a los mismos, en los casos más graves, puede incluso ser constitutivo delito. Por ello, su control por parte de los interesados y su protección por parte de quien los trata, son cada vez más importantes y necesarios.

Voy a tratar de marcar un punto de partida para que un autónomo o una microempresa pueda dibujar un mapa mental que le ayude a hacer sus deberes en esto del cumplimiento en materia de protección de datos, sin obviar la complejidad técnica que ello conlleva y que hace imposible tratar más en profundidad el tema en este artículo.

Más del 80% del tejido empresarial en España son microempresas (De 1 a 9 trabajadores) y autónomos. Este sector es el que más dificultad está teniendo para adaptarse a la  nueva legislación y sin embargo, no podemos obviar el hecho de que está tratando una importante cantidad de datos en su conjunto. Este hecho es preocupante porque, como ciudadanos, todos somos cada vez más conscientes de nuestros derechos, nos importa nuestra privacidad, empezamos a interesarnos por lo que se hace con nuestros datos y a exigir que se garanticen nuestros derechos.

Lo primero que debemos hacer es cambiar nuestra mentalidad, porque el nuevo reglamento pretende crear una cultura de cumplimiento y ya no valdrá con adoptar  unas cuantas medidas que la ley nos marca, tener inscritos unos ficheros y contar con unos cuantos formularios para cubrirnos las espaladas frente a una posible reclamación. Seremos nosotros, los responsables del tratamiento, quienes tendremos que estudiar nuestra empresa, definir y diseñar las actividades que suponen un tratamiento de datos personales, analizar los riesgos, implementar las medidas que consideremos necesarias para garantizar la seguridad de los datos y el ejercicio de los derechos de los interesados, comprobar que funcionan y evaluar periódicamente que todo va bien.

Probablemente hayas consultado en Google la información  publicada  por  la  AEPD  para orientarnos en la adaptación al RGPD, foros profesionales o blogs de expertos y puede que hasta hayas acabado teniendo más dudas que al principio de tu búsqueda. El RGPD, también conocido como GDPR, por sus siglas en inglés (General Datta Protection Regulation), es una norma extensa y compleja, no nos vamos a engañar, por lo que puede que aún te estés preguntando por dónde empezar.

Vamos a tratar de ir al grano y, pensando en una empresa pequeña, recorreremos el camino  para cumplir con la GDPR en seis pasos fundamentales.

1.- DEFINIR Y DISEÑAR LOS TRATAMIENTOS

 ¿Y esto, qué es? Hay que empezar por echar un vistazo a nuestra actividad e identificar los tratamientos de datos personales que llevamos o pretendemos llevar a cabo. Si teníamos inscritos previamente ficheros en la AEPD, revisarlos puede ser un buen punto de partida.

¿Qué es dato personal?: “Toda la información sobre una persona física identificada o identificable” (art. 4.1 GDPR). Por tanto pueden ser datos personales el nombre, el domicilio, el número de teléfono, una dirección IP, la fotografía de una persona, su número de cuenta bancaria, etc. Mucho cuidado con el término identificable, porque son muchos los datos que pueden hacer identificable a una persona, y más si se relacionan con otros.

El artículo 25 de la RGDP obliga a que la privacidad se garantice desde el diseño (privacy by desing) y por defecto. Todo tratamiento, desde la recogida de los datos, hasta su destrucción, pasando por sus diversos tratamientos y la implantación de medidas técnicas,

jurídicas y administrativas, debe concebirse, a la luz de los principios del tratamiento que se indican en el artículo 5 de la norma: Licitud, lealtad y transparencia, limitación de   la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad.

Esto significa que tendremos que plantearnos cómo obtenemos los datos, cómo y dónde los clasificamos y almacenamos, el uso que hacemos de ellos, si los cedemos a terceros o los trasferimos fuera de la UE y cómo y cuándo los destruimos.

Es importante dedicar tiempo al primer paso porque podemos olvidar alguna actividad  que suponga el tratamiento de datos personales y ese despiste puede tener graves consecuencias para los interesados y para nosotros.

2.-REGISTRO DE ACTIVIDADES DE TRATAMIENTO

Ya sabemos los tratamientos de datos personales que hace nuestra empresa. Ahora tenemos que confeccionar un registro de actividades de tratamiento. Se trata de un documento que puede tener el formato que se prefiera y en el que se deberá registrar cada una de las actividades de tratamiento que se llevan a cabo. Como ejemplo, se  podría hacer una clasificación de los tratamientos de datos por categorías: Clientes, proveedores, trabajadores, colaboradores y gestión comercial.

Para los tratamientos de cada categoría debemos determinar su finalidad, indicar la base jurídica o legitimación para llevar a cabo el tratamiento y determinar las categorías de afectados.

Este registro no es un documento que podamos dejar guardado y olvidado en una carpeta. Es un documento que debe permanecer vivo y actualizado con cada cambio que sufran los tratamientos que haga la empresa.

Es muy importante, llegados a este punto, comprobar si tratamos datos de lo que la RGPD denomina categorías especiales, ya que estos datos deberemos protegerlos casi con nuestra vida. Estos datos serán los que revelen origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud, datos relativos a la vida y orientación sexuales, derivados de actos de violencia de género y sobre infracciones y condenas penales.

El tratamiento de este tipo de datos nos obligará a extremar las medidas de protección, condicionará en gran medida la base legal   que nos faculta para su tratamiento y,  en      la mayoría de los casos, nos obligará a llevar a cabo una evaluación de impacto para calibrar las consecuencias que tendría cualquier incidencia  referida a ellos. Además, si   la base legal para el tratamiento de estos datos es el consentimiento, debe recabarse de forma específica para cada una de estas categorías.

No obstante, a pesar de tratar este tipo de datos, podemos llegar a la conclusión de no que no hay un riesgo importante y no necesitamos hacer esta evaluación. En tal caso debemos redactar un informe indicando porqué llegamos a esta conclusión y justificar no llevarla a cabo.

Es posible que a estas alturas del artículo haya empezado a hacérsete bola esto de la protección de datos. Tranquilo, el primer paso siempre cuesta pero una vez dado, tenemos que ir por los demás.

3.- ANÁLISIS DE RIESGOS

Es hora de identificar las amenazas que pueden poner en peligro la confidencialidad, la integridad y la disponibilidad de los datos que tratamos. Debe evitarse cualquier acceso a datos personales por parte de persona no autorizada. Debe garantizarse que los datos que tratamos permanecen completos e inmutables. Además, debemos tener siempre disponibles los datos que tratamos porque el interesado puede solicitarnos acceso a los mismos y además pedirnos copia documental de ellos.

Una amenaza puede ser, desde la pérdida de los datos a causa de un borrado o modificación accidental, a un acceso no autorizado de un empleado o de alguien de fuera de la empresa, pasando por la propia pérdida por extravío de un móvil o un ordenador portátil.

Identificadas las amenazas tendremos que valorar la probabilidad de que ocurra un incidente. Habrá amenazas que sea poco probable que se materialicen y otras cuya probabilidad de que nos afecten sea mayor. La probabilidad podemos clasificarla en máxima, significativa, limitada o despreciable. Las medidas de seguridad que adoptemos dependerán de este análisis. Aquí debemos tener de nuevo en cuenta si estamos tratando datos personales de categorías especiales.

Si nos hemos tomado el tiempo necesario para identificar los tratamientos que llevamos a cabo, nos será más fácil identificar las amenazas y valorar el riesgo de que produzca una incidencia.

Si teníamos un documento se seguridad, tendremos que revisarlo puesto que ahora ya  no hablamos de niveles de seguridad ni de medidas concretas que la Ley nos obliga a adoptar. La nueva regulación nos considera mayores y responsables y nos encarga elegir los protocolos de actuación y las medidas que consideremos adecuadas y suficientes para garantizar los derechos de los interesados y poder probar que lo hacemos (Ahí es nada la cosa).

Evaluados los riesgos, podemos ponernos manos a la obra con el diseño e implantación de las medidas organizativas y de seguridad que resulten necesarias.

Las medidas pueden ser muy diversas y dependerán de la estructura y funcionamiento de cada empresa o negocio pero algunas pueden ser válidas para la mayoría. Por aquello de que para muestra basta un botón, vamos a indicar algunas de ellas:

Protocolos para recabar el consentimiento de los interesados, cuando sea esta la base legal para el tratamiento. La GDPR entiende por consentimiento “la voluntad libre, específica informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. (El origen del diluvio de correos que hemos recibido los días previos al 25 de mayo pidiendo nuestro consentimiento). Esto conlleva examinar cómo recabamos en el pasado el consentimiento para valorar si es necesario, o no, volver a solicitarlo en la forma que ahora se exige y hacer la correspondiente criba. Por favor, no sigas tratando datos cuyos interesados no te hayan dado su consentimiento según exige la GDPR.

Habrá que revisar nuestros contratos, los boletines de contacto y suscripción de nuestra web o blog y cualquier otro punto de recogida de datos personales para conseguir que    el consentimiento no ofrezca duda y que los interesados estén correcta y completamente informados de la necesidad, finalidad y temporalidad del tratamiento así como de quien es el responsable del mismo.

Seguramente necesitarás la ayuda de profesionales en la implantación de este tipo de medidas, un jurista especialista en la materia y un informático que haga los cambios correspondientes en tu web.

Si tienes tu web en Word Press, hay varios plugins para adaptar su web a la GDPR que pueden ser de utilidad: GDPR, WP GDPR Compliance, GDPR V Check, etc. En cualquier caso, los textos nunca deben aplicarse a nuestro caso sin estudiarlos previamente y comprobar que se adaptan a los tratamientos que hemos diseñado en nuestra empresa o negocio. El prêt-à-porter en cumplimiento de la GDPR no sirve y compensa invertir en un trabajo profesional que nos evitará multas y reclamaciones de perjudicados.

– Control de acceso del personal a archivos y dispositivos que contienen archivos con datos personales, adjudicación de contraseñas, huella digital en teléfonos móviles, etc.

  • Pseudonimizar y cifrar los datos en nuestros equipos (cifrado de disco duro o carpetas correspondientes, cifrado de memorias de almacenamiento externo, cifrado de correo…). El sistema Windows 10, no incorpora la opción de cifrado en todas sus versiones, sólo  en Enterprise y Pro, por lo que antes de elegir un equipo o un software debemos tener en cuenta estos aspectos. Si tenemos equipos que no lo incorporan, necesitaremos software externo que nos permita el cifrado.

El cifrado será también necesario en nuestra web, que requerirá de un certificado SSL para que los datos que se recojan a través de boletines de contacto o suscripción, por ejemplo, circulen cifrados y de forma segura. La mayor parte de los hosting ofrecen certificados SSL muy económicos o gratuitos. Let´s Scrypt ofrece también de forma gratuita este certificado.

  • Realizar un inventario de los soportes (Memorias externas, portátiles, smartphones…) o documentos físicos (que aún los hay) que contienen datos personales, e implantar medidas que garanticen el traslado seguro de los mismos, sin olvidar que también debemos llevar a cabo su borrado de forma segura. Para dispositivos electrónicos hay herramientas como Eraser o Hardwipe que pueden sernos de utilidad. Activar un sistema de borrado remoto para teléfonos móviles también nos ayudará a preservar los datos almacenados en caso de pérdida o sustracción de los mismos. No olvidemos borrar periódicamente los archivos que contienen datos personales almacenados en las aplicaciones de escaneo de los teléfonos móviles.
  • Cada vez es más frecuente trabajar fuera de las instalaciones de la empresa, en tales casos debe hacerse uso de una VPN.
  • Dado que la GDPR otorga a los interesados el derecho a solicitarnos copia documental de los datos que estamos tratando, se hace imprescindible contar con copias de seguridad de los archivos que contienen datos personales. Lo más recomendable es tener copia en una memoria de almacenamiento externa y en cloud.
  • Teniendo en cuenta que solemos recoger, almacenar, tratar o destruir datos personales por medios tecnológicos, tendremos que adoptar medidas de seguridad informática. Si no estamos muy duchos en el tema, nos tocará contratar los servicios de un profesional pero no podemos ver este gasto como un coste sino como una inversión rentable.

Contar con un antivirus, un firewall correctamente parametrizado, unas normas sobre uso de dispositivos electrónicos en la empresa o una configuración adecuada de las cuentas de usuario en redes sociales o aplicaciones, entre otras, son medidas básicas que tenderemos que adoptar si no lo hemos hecho hasta ahora.

En ese documento deberíamos prever un plan de actuación en caso de producirse una brecha de seguridad a fin de minimizar el impacto de la incidencia. Además el RGPD nos obliga a comunicar a comunicar a la AEPD dicha brecha “cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas” y tenemos 72 horas para hacerlo.

Todos los protocolos y medidas que implantemos en la empresa debemos recogerlos en un documento. Pero, sobre todo, las medidas deben ponerse en práctica y no relajarnos una vez llegados a este punto.

4.- FIRMAR CONTRATOS DE CONFIDENCIALIDAD CON PROVEEDORES Y COLABORADORES

También estamos obligados a garantizar que quienes trabajan con nosotros y tienen de algún modo acceso a datos que tratamos, cumplan con la normativa de protección de datos. Para ello deberemos exigirles que adopten las medidas adecuadas para garantizar los derechos de los interesados mediante contratos o pactos de confidencialidad que firmemos con ellos.

Ejemplos: La asesoría que confecciona las nóminas de nuestros empleados, el compañero con el que colaboramos en un proyecto o la empresa encargada del mantenimiento de nuestros sistemas informáticos.

5.- FORMAR AL PERSONAL DE LA EMPRESA

De nada sirve llegar hasta aquí si no se da la adecuada formación al personal de la empresa. Los trabajadores deben adquirir esa cultura de cumplimiento de la que hablábamos al principio y conocer las medidas implantadas. Muchos de ellos serán encargados del tratamiento, por lo que si no afianzamos este eslabón, la cadena puede romperse en cualquier momento. No solo se les debe explicar la política de la empresa a este respecto y sus concretas obligaciones, sino que se les debe facilitar esta información de la forma más gráfica y sencilla posible para que no se les haga bola.

6.- LLEVAR A CABO EVALUACIONES PERIÓDICAS

El modelo de cumplimiento que adoptemos no es algo estático. No solo debe ir adaptándose a la transformación de nuestro negocio, sino que debe revisarse periódicamente para comprobar que funciona y, en su caso, modificar lo que sea necesario.

Es la consecuencia de esa responsabilidad que la normativa nos ha atribuido. Debemos cumplir y poder probar que lo hacemos, y ello requiere una constante revisión de nuestras medidas y procesos.

Como dije al principio, son muchos los aspectos que quedan fuera de este breve análisis. La figura del DPO o la evaluación de impacto, son parte de la regulación que me dejo en el tintero. Este artículo solo pretende orientar a autónomos y microempresas para llevar   a cabo su adaptación a la nueva normativa y, en su mayor parte no estarán obligados a contar con un DPO ni a llevar a cabo la evaluación de impacto, aunque habrá quien si lo requiera. Hay despachos de abogados cuya principal actividad de tratamiento se refiere   a datos personales relacionados con delitos o condenas. Atendiendo a la literalidad de la norma, necesitarían un DPO. En mi opinión, esta obligación para un despacho penalista unipersonal, supondría un coste probablemente difícil de asumir. Quizás la única opción que tenga el profesional sea poder acreditar ante la AEPD que él mismo tiene los conocimientos técnicos y la capacidad para actuar como DPO, lo que, en cualquier caso, le exigirá un trabajo y esfuerzo extraordinario.

Ya solo nos queda hacer el camino pensando que no sólo estamos protegiendo datos, sino derechos de personas que merecen como mínimo, el respeto que la GDPR les otorga.

María Inmaculada López González
BUFETE LÓPEZ GONZÁLEZ
Asociada de ENATIC

El principio de transparencia y el deber de información en el RGPD

/1 Comentario/en /por

Con esta nota sobre el principio de transparencia y el derecho de información iniciamos este blog, que tiene por objetivo compartir y debatir sobre las nuevas (y viejas) obligaciones y derechos que introduce el RGPD. A partir de cada una de estas breves notas buscamos generar un entorno a partir del cual explorar las novedades del RGPD no sólo desde una perspectiva teórica sino también práctica.

Todas las opiniones y comentarios serán bienvenidos.

El principio de transparencia y el deber de información en el RGPD

¿Qué es el principio de transparencia?

El principio de transparencia no es nuevo en el ámbito de la protección de datos, sino que es un principio directamente ligado a los tradicionales principios de información, licitud y lealtad. El Grupo de Trabajo del Artículo 29[1], define al mencionado principio como: el requerimiento de que cualquier información y comunicación relacionadas con el procesamiento de datos personales sea de fácil acceso y de fácil entender, usando un lenguaje claro y sencillo. Refiriéndose, en particular, a la información sobre el responsable del tratamiento, los fines del tratamiento y la información necesaria para garantizar un trato justo hacia los interesados en los datos personales.

El RGPD introduce el principio de transparencia de forma expresa en el listado de principios de su art. 5 y, posteriormente, lo desarrolla en su art. 12. En este sentido, la transparencia es necesaria durante todo el ciclo de vida de los datos y durante todo el tratamiento de los mismos, desde la etapa de recopilación hasta la fase final, en donde los datos son eliminados. Es decir, el responsable del tratamiento tiene que comunicar al interesado sobre los cambios en los tratamientos de datos que realiza, las condiciones del tratamiento, o la existencia de alguna comunicación de datos, para garantizar que el interesado tenga pleno conocimiento del uso que se le brinda a los datos recopilados.

La transparencia está vinculada al principio de la accountability, por tanto, el responsable de tratamiento debe buscar el mecanismo idóneo para lograr que las personas sean informadas de forma efectiva de cómo van a ser tratados sus datos.

¿Cuáles son los requisitos de transparencia?

Como recuerda el Grupo de Trabajo del Artículo 29, el concepto de transparencia parte de una concepción user-centric más que de una legalista. Por tanto, toda actuación enmarcada en el cumplimiento de este principio debe pensarse desde la perspectiva de la “audiencia” a la que se dirige.

Los requisitos de transparencia que debe tener en cuenta el responsable del tratamiento se describen en el artículo 12 del RGPD. Se exige que la información cumpla con las siguientes reglas:

  • Debe ser concisa, transparente, inteligible y de fácil acceso.
  • Debe usarse un lenguaje claro y sencillo. Este requisito tiene una mayor importancia cuando la información deba ser proporcionada a niños.
  • La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos.
  • Cuando lo solicite el interesado, la información podrá ser facilitada verbalmente siempre que se demuestre la identidad del interesado por otros medios.

El Grupo de Trabajo del Artículo 29 entiende por “fácil acceso” que el acceso a la información por parte del interesado no debe implicar ninguna búsqueda o esfuerzo por parte de este. Debe ser evidente para los interesados donde pueden acceder a la información. Además, se recomienda que los párrafos y oraciones estén bien estructurados. Las oraciones deben estar formuladas en activo y no en pasivo y el exceso de sustantivos debe evitarse. La información proporcionada al interesado no debe contener un lenguaje o terminología excesivamente técnica o especializada.

La información se debe proporcionar sin que el interesado deba realizar aportación económica alguna. Cuando las solicitudes de los interesados sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o negarse a actuar respecto de la solicitud. El responsable del tratamiento es quien debe demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

¿Cómo debe cumplirse con el principio de transparencia?

El principio de transparencia requiere que cualquier información y comunicación relacionada con el tratamiento de los datos personales sea fácilmente accesible (en un lugar visible y directamente accesible) y fácil de entender, que se use un lenguaje claro y sencillo, sin ambigüedades. El Grupo de Trabajo del Artículo 29 señala que el responsable debe analizar cuál es su “audiencia” para adaptar el mensaje. Las personas deben poder conocer, por adelantado, el alcance y las consecuencias del tratamiento de sus datos.

En este sentido, cuando la información vaya dirigida a niños debe hacerse de forma que se comprenda que va dirigida a ellos: el vocabulario, estilo y tono deben ser los adecuados atendiendo a la edad de los menores.

El RGPD no prevé una forma específica de cómo prestar la información solicitada, pero el Grupo de Trabajo del Artículo 29, señala la importancia de que la notificación que contiene la información proporcionada cuente con un aviso de protección de datos o declaración de privacidad, y un resumen de las finalidades del tratamiento. Asimismo, es necesario que el responsable del tratamiento tenga en cuenta la modalidad y el formato apropiado para suministrar la información.

La obligación de ser transparentes durante todo el tratamiento puede conseguirse, por ejemplo, con un claro aviso de protección de datos accesible en la página web con la información relativa a los tratamientos de datos realizados para que en cualquier momento pueda ser consultada y con los mecanismos para ejercer los derechos, así como cualquier otra información útil al respecto.

Una de las manifestaciones del principio de transparencia que probablemente tendrán mayor impacto en un futuro cercano, habida cuenta de los avances que estamos experimentando en materia de inteligencia artificial, es el de la necesidad de hacer transparentes las decisiones basadas en tratamientos automatizados que pueden tener un efecto jurídico sobre los ciudadanos o vaya a afectarles significativamente.

Se encuentran reguladas en el artículo 22 del RGPD, estableciéndose como principio el derecho de la persona a no ser objeto de este tipo de decisiones, salvo cuando se cuente, por ejemplo, con el consentimiento explícito. En cualquiera de los supuestos,  las excepciones reguladas exigen el establecimiento de medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado. En este punto, la transparencia cobra especial importancia, ya no sólo en cuanto a dar a conocer la existencia de este tipo de tratamiento, sino por la necesidad de que las personas entiendan la importancia y las consecuencias que ese tratamiento va a tener para ellas. Así, se exige al responsable del tratamiento que informe de estas circunstancias, junto con la lógica aplicada, en el momento de la recogida de los datos, o con posterioridad si los datos no se recogen directamente del interesado.

¿Qué es el deber de información?

Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de operaciones de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales.

El RGPD establece que se debe facilitar a los interesados la información sobre el tratamiento de sus datos personales en el momento en que se obtengan de ellos o, si se obtienen de otra fuente como máximo en el plazo de un mes, Esta información dirigida al público o al interesado podrá facilitarse también  en forma electrónica.

Además, si los datos personales pueden ser comunicados legítimamente a otro destinatario, se debe informar al interesado en el momento en que se comunican al destinatario por primera vez. El responsable del tratamiento que proyecte tratar los datos para un fin que no sea aquel para el que se recogieron debe proporcionar al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y otra información necesaria.

En los arts. 13 y 14 del RGPD se contempla la información que debe facilitarse en la recogida de los datos, tanto si se recogen directamente del interesado como si se recogen por otros medios, de modo que el interesado sea capaz de determinar de antemano cuál es el alcance y las consecuencias que implica el tratamiento de datos.

El Grupo de Trabajo del Artículo 29 indica que las categorías de información que deben proporcionarse al interesado de los datos que son materia de tratamiento ya se encuentran enumeradas y resumidas dentro de la norma. Sin embargo, los responsables del tratamiento no solo deben proporcionar la información prescrita en los artículos 13 y 14, sino que también se debe explicar cuáles serán las consecuencias más importantes del tratamiento.

¿Qué debe hacer el responsable del tratamiento si el interesado solicita información sobre el tratamiento de sus datos?

El responsable del tratamiento deberá facilitar al interesado información relativa a sus actuaciones sobre la base de una solicitud y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.

El responsable del tratamiento deberá de informar sin dilación al interesado en caso de no poder atender su solicitud, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.

Cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad del interesado que presenta una solicitud de ejercicio de derechos de habeas data, podrá solicitar que se facilite información adicional necesaria para confirmar la identidad del mismo.

El responsable del tratamiento podrá facilitar la información a través de una combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto.

¿Cuáles son los puntos principales sobre los que se debe informar?

Cuando se obtengan los datos personales directamente del propio interesado, el responsable del tratamiento, en el momento en que los obtenga, debe informar de :

  • la identidad y los datos de contacto del responsable y, en su caso, del representante.
  • los datos de contacto del delegado de protección de datos.
  • los fines del tratamiento a que se destinan los datos personales.
  • la base jurídica del tratamiento. Y, en su caso, sobre el interés legítimo.
  • las categorías de datos personales de que se trate.
  • los destinatarios o las categorías de destinatarios.
  • el plazo de conservación de los datos personales o los criterios utilizados para determinarlo cuando no es posible informar del mismo.
  • la existencia del derecho a solicitar el acceso, rectificación o supresión, la limitación del tratamiento, a oponerse y el derecho a la portabilidad.
  • Si el tratamiento se basa en el consentimiento, de la existencia del derecho a retirarlo en cualquier momento.
  • El derecho a presentar una reclamación ante una autoridad de control.
  • En caso de comunicaciones, de la base legal o contractual que tienen. Se informa de las cesiones basadas en un requisito necesario para suscribir un contrato.
  • En su caso, sde la existencia de decisiones automatizas, elaboración de perfiles, sobre la lógica aplicada, la importancia y consecuencias previstas del tratamiento.
  • Antes de realizar tratamientos de datos personales para una finalidad distinta de la que fueron recogidos, se informa al interesado sobre esa otra finalidad y cualquier otra cuestión pertinente.

Cuando los datos personales no hayan sido obtenidos del propio interesado, el responsable del tratamiento, de manera adicional a todos los puntos anteriores, también deberá informar de la fuente de la que proceden los datos personales o si proceden de fuentes de acceso público. Esta información deberá ser facilitada:

  • Dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes, habida cuenta de las circunstancias específicas en las que se traten dichos datos.
  • Si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado.
  • Si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.

¿Cómo se debe informar?

La forma en la que se provee la información es de vital importancia. La comunicación de la misma debe incluirse en un aviso de protección de datos o declaración de privacidad.

El Grupo de Trabajo del Artículo 29 precisa que es indispensable que el método empleado para proporcionar la información sea apropiado para la circunstancia en particular; por ejemplo, brindando la información de forma escrita en una página web o mediante un vídeo, así como también a través de un código QR.

Tanto el Grupo de Trabajo del Artículo 29 como las diferentes autoridades de control[2] recomiendan el uso de declaraciones o avisos de privacidad por capas, que permiten a los interesados consultar los aspectos de los textos legales de mayor interés para ellos con un enfoque multinivel; el cual ayuda al responsable del tratamiento a diseñar los procedimientos y formularios.

El Proyecto de Ley Orgánica de Protección de Datos recoge esta posibilidad para el caso de que los datos sean obtenidos del afectado a través de redes de comunicaciones electrónicas o en el marco de la prestación de un servicio de la sociedad de la información, y supuestos expresamente establecidos por la ley o autorizados por la Agencia Española de Protección de Datos.

Señala, en su art. 11, que se facilitará al afectado una información básica y se le indicará una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información. La información básica deberá referirse a:

  1. a) La identidad del responsable del tratamiento y de su representante.
  2. b) La finalidad del tratamiento.
  3. c) El modo en que el afectado podrá ejercitar sus derechos

Las declaraciones o avisos de privacidad por capas se apoyan en dos pilares fundamentales:

  • El primer nivel consiste en la información básica para el interesado, que debe estar de forma resumida, y se debe ofrecer en el mismo momento en que se recopila la información y por el mismo medio por el cual se recojan los datos.
  • En el segundo nivel debe encontrarse la información de forma detallada, en un medio más adecuado para su presentación y compresión por el interesado.

La forma de presentar la información adicional depende del medio empleado para hacer llegar la información solicitada por el interesado. El lenguaje para presentar la información debe ser claro, conciso y sencillo, aplicando una exposición estructurada en los epígrafes de la tabla de información básica, evitando jerga jurídica que tal vez no pueda ser correctamente comprendida por el interesado y empleando, en la medida de lo posible, un formato de preguntas y respuestas.

La extensión de la información contenida en este nivel dependerá de la complejidad de cada circunstancia en particular. Pudiendo incluir información que no necesariamente haya sido contemplada en el RGPD con el fin de contribuir a mejorar la protección de los datos personales y generar confianza con el interesado.

¿Cuándo no es necesario informar al interesado?

Cuando se obtengan los datos personales directamente del propio interesado, el RGPD indica que no será necesario informar al interesado cuando ya dispone de la información.

Cuando los datos personales no hayan sido obtenidos del propio interesado, el RGPD indica que no será necesario informar al interesado:

  • Cuando ya dispone de la información.
  • Cuando la comunicación de dicha información resulta imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
  • Cuando puede imposibilitar u obstaculizar gravemente el logro de los objetivos del tratamiento, pero se adoptan medidas para proteger los derechos, libertades e intereses legítimos del interesado.
  • Cuando la obtención o la comunicación está expresamente establecida por normas de derecho aplicables.
  • Cuando los datos personales tienen carácter confidencial sobre la base de una obligación de secreto profesional regulada por normas de Derecho.

¿Cómo puede una organización saber si cumple con el principio de transparencia y el deber de información?

El Considerando 74 del RGPD establece que el responsable está obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento. Por ello, es muy importante asegurar una correcta identificación de las amenazas a los que está expuesta una actividad de tratamiento y los posibles riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados.

De este modo, la Agencia Española de Protección de Datos[3] ha elaborado un listado de cumplimiento normativo que incluye un punto específico para la valorar el grado de cumplimiento de la obligación de transparencia y del derecho de información que nos permite tener una primera aproximación.

 

Abel Loeches Márquez

AKELA

 

 

[1] Directrices sobre transparencia publicadas por el WP 29 el 29 de noviembre de 2017: (http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227)

[2] A titulo de ejemplo: https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/modeloclausulainformativa.pdf

[3] https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/2018/LISTADO_DE_CUMPLIMIENTO_DEL_RGPD.pdf

Cumplimiento GDPR: Modelos de Compliance

/0 Comentarios/en /por

Mucho se ha escrito, mucho se ha oído y mucho se ha podido ver, incluyéndose a las respectivas autoridades de control comentar respecto a cómo debería ser la adecuación y/o implementación del nuevo marco regulador de protección de datos. Este artículo no pretende ir más allá de mostrar mi humilde opinión jurídica en cuanto a lo que considero una correcta aplicación del GDPR, la cual la supedito a la integración o realización de los denominados modelos de compliance y, más concretamente, a la posibilidad de integrar el modelo COSO e ISO 19600 que no son más que modelos de control y gestión del riesgo, pudiendo partir, si se dispusiere, del Modelo de Prevención de Delitos Penales a los que hace referencia el artículo 31 bis del Código Penal.

 

Bajo mi interpretación del GDPR, el cual es configurado de forma transversal, y centrándome en la responsabilidad proactiva, dado que en virtud de la configuración enunciada, los responsables de tratamiento deberán prima facie (sustantivo) asegurar la correcta aplicación de los principios recogidos en el artículo 5 y desarrollados mediante los requisitos y obligaciones contenidos en los artículos 6  a 23, dando primacía al principio de transparencia, información, consentimiento y derecho de los afectados (garantizar el derecho de autodeterminación informativa). Sin embargo, dicho derecho sustantivo (hardlaw) es completado, dentro del principio de responsabilidad proactiva (Capítulo IV, especialmente, artículos 24 a 39) mediante normativa softlaw y, considero que dicho cumplimiento está configurado bajo los modelos de compliance.

 

La anterior afirmación la emito porque de una lectura exhaustiva del artículo 24 GDPR se desprende que dicha responsabilidad está basada en el principio de COMPLAIN & EXPLAIN: CUMPLE Y EXPLICA, base de todo programa de cumplimiento normativo. Dicho artículo hace mención expresa a términos como: riesgo, controles, políticas, etc. Por tanto y, en virtud, de la configuración transversal, el GDPR obliga con carácter general a establecer un modelo de compliance, el cual es desarrollado más pormenorizadamente, a través de los siguientes artículos, en los cuales se establecen especialidades en virtud del tipo de tratamiento de datos personales. Por ello, las obligaciones formales y/o documentales, tales como el Registro de Actividades de Tratamiento, no es el eje principal de una correcta aplicación y garantiza el cumplimiento, dado que dicho RAT no es más que lo que expresamente establece el propio GDPR (documento interno formal), pero no el requisito determinante para demostrar y garantizar el cumplimiento afecto, tal y como últimamente estoy cansado de escuchar a múltiples “consultoras.”

 

Comentado el precedente, qué pretende el GDPR con la responsabilidad proactiva. Dado que los estados ya no pueden garantizar el cumplimiento, no sólo en materia de protección de datos sino en otros ámbitos del derecho a través del referido hardlaw pretenden servirse de los distintos actores (empresas, administraciones públicas, servicios, etc.), por así decirlo, para controlar el cumplimiento, dándoles libertad para establecer un modelo o un proceso de cumplimiento (softlaw, el cual es aceptado por la sociedad), en este caso, relacionado con la privacidad, tomando como referencia cultura anglosajona (USA[1], Reino Unido[2]) pero también cultura europea (Alemania[3]) respecto a los denominados cumplimientos normativos. Dicho softlaw, principalmente y actualmente, toma como referencia marcos o normas estandarizadas reconocidos internacionalmente[4]. Entre dichos marcos y normas se encuentra el denominado marco COSO e ISO 19600 que, principalmente, recoge un proceso interno de gestión del riesgo y cómo contralar el mismo.

 

Si efectuamos una extrapolación de la finalidad del GDPR en cuanto a garantizar y acreditar la responsabilidad en referencia al modelo COSO e ISO 19600, las similitudes son extraordinarias. El GDPR, al igual que el modelo COSO (Coso I y III determinada el modelo, mientras que COSO II indica cómo gestionar el riesgo) el cual es tomado como base en ISO 196000 de la misma forma que en otro tipo de ISO (calidad, medio ambiente, prevención de riesgos, etc.), base su eficacia en los referidos modelos de cumplimiento. Analicemos el GDPR en base a dicho modelo de gestión del riesgo: El GDPR expresamente hace mención a las tres líneas de defensa de los modelos de compliance: Medición del riesgo (mapa) y establecimiento de políticas y controles a los riesgos; establecimiento y seguimiento de los controles; monitorización y/o supervisión del modelo de cumplimiento. Las tres líneas deben ser justificadas y documentadas, tanto en el supuesto de tratamientos que no precisen EIDP como aquellos tratamientos que precisen de EIDP por el carácter de alto riesgo en dicho tratamientos.

Ahora bien, como se pone lo comentado en tierra, a nivel práctico, es decir, dicha libertad basada en un modelo de compliance, cómo es operativo. Un modelo de cumplimiento GDPR se basa en tres pilares: diseño, implementación y eficacia operativa y, dicho modelo no se efectúa de la noche a la mañana y más, lamentándolo mucho, según está configurado el propio GDPR puesto que el mismo obliga a analizar el riesgo en virtud de operaciones, es decir, en virtud de la vida del dato (recogida, tipo de fuente de procedencia, operaciones internas, comunicaciones y/o transferencias, bloqueos, conservación, etc.) Relaciono el presente con las famosas EIDP, dado que pudiere suceder que en el análisis del riesgo la recogida no alcanzara un riesgo alto, pero la operación de comunicación a terceros sí y, en ese caso, sería necesario dicha EIPD.

 

Centrándonos en el GDPR y como base inicial, es obligatorio efectuar lo que se denomina mapeo de riesgos. Existen varias fórmulas, pero centraré el mismo, en dos extremos: riesgo en base a la actividad y el riesgo en base a los procesos. De dicho extremos, bajo mi impresión, es más fácil efectuar y/o medir el riesgo en base a la actividad, por lo tanto, en base a ella y a su afectación al responsable del tratamiento, habrá que determinar qué riesgos asociados a la actividad pudieren ser afectos en cuanto a la privacidad (tratamientos), dado que no es lo mismo una actividad de un centro sanitario que la actividad de una PYME más allá del servicio que presta, pero habrá que atender a las finalidades que se efectúan, puesto que pudiere suceder que se efectúe en una PYME profiling o análisis de perfiles que impliquen un aumento del riesgo y, por ende, un mayor seguimiento respecto a los controles a establecer.

 

Una vez efectuado el mapeo de riesgo y la matriz obtenida de dos coordenadas (riesgo y probabilidad), recomendando establecer o documentar el proceso a implementar, es decir, la denominada política de protección de datos; habrá que establecer los controles precisos a dichos riesgos, los cuales deberían, igualmente, establecer o contener los riesgos a las medidas técnicas y organizativas que se disponen (p.e. si disponemos de un riesgo asociado al acceso al sistema de información por falta de establecimiento de temporalidad de modificación de contraseñas, un control a establecer sería recordar o establecer la temporalidad; otro control es la revisión, cada cierto tiempo, respecto a la incorporación o testeo de las distintas cláusulas afectas o relacionar los encargados de tratamiento). Este segundo paso es la segunda línea de defensa, respecto a la cual ha de documentarse, por así decirlo, obtener la evidencia a dicho seguimiento y actuación. La tercera línea de defensa sería la verificación y/o supervisión, la cual, tal y como indica el propio GPDR la asumiría el DPO en caso que fuere preciso o la persona respecto a la cual el responsable del tratamiento haya designado. En este punto concreto, se ha de resaltar, como así se establece en los programas de compliance, que el mismo debe ser objeto principal de la dirección de la empresa, es decir, en el primer nivel y, ese nivel, sería por ejemplo el Consejo de Administración, al cual se habrá de reportar en relación al ámbito de privacidad y, sobre el cual, recaerá la asunción del nombramiento del respectivo DPO, puesto que el mismo, al igual que en otros ámbitos (PBCFT; Delitos Penales), aquel se sitúa, tal y como el propio GDPR establece en su artículo 38.3, en lo más alto jerárquicamente y bajo el principio de independencia y, dichos extremos deben ser garantizados: “El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.” Dicho DPO será el encargado de supervisar la Eficacia Operativa del modelo diseñado e implementado y el encargado de reportar a la alta dirección los informes relacionados, a través de las evidencias y documentos obtenidos a lo largo del tiempo.

 

La pregunta sería, se puede establecer dicho modelo de compliance con las herramientas y/o publicaciones que las autoridades de control han publicado. No tengo respuesta para ello, puesto que, si bien es cierto que tanto las guías sobre medición de riesgo y EIDP pudieren servir de base para establecer la primera línea de defensa, por el contrario, todo modelo de compliance ha de estar VIVO y, por ello, al contrario que sucedía con la LOPD (se efectuaba documento de seguridad y se quedaba en el cajón cogiendo polvo), ahora por el contrario, dicho modelo diseñado e implementado debe estar actualizado, puesto que será la defensa principal (atenuante o eximente) en caso de procedimientos sancionadores u otros análogos, más aún si lo extrapolamos con los principios rectores del ámbito penal y del artículo 31 bis referenciado al inicio del presente artículo, el cual indica que dicho programa debe estar VIVO, habiendo indicado la propia FISCALIA que disponer de certificación de ISO 19601 no es elemento atenuante sino que debe demostrarse que dicho modelo ha sido implantado eficazmente, de la misma forma que el GDPR se expresa al hablar de diligencia, supervisión y verificación. Por ello, mi primera reflexión acerca de que el modelo de cumplimiento del GDPR pudiere formar parte integrada del modelo de prevención de delitos penales, ampliando su alcance al establecimiento de controles y políticas asociadas a los delitos relacionados con la privacidad.

 

Terminando con el presente artículo, el cual precisaría de una mayor extensión, aunque la finalidad del mismo ha sido “intentar mostrar un poco de luz”, si bien habrá que dejar caminar al GDPR, sí me gustaría indicar dos cosas: primera, poco a poco se está produciendo una cambio cultural al respecto del presente ámbito, el cual ya empieza a tener su punto de partida tanto en la Ley de Contratos del Sector Público como en las relaciones con otras empresas e inversores, destacando la obligatoriedad y/o exigencia de acreditar o valorar el riesgo asociado a una actividad empresarial concreta; y segunda, para poder interpretar, entender y, especialmente, implementar el GDPR es necesario conocer y desenvolverse con procesos de cumplimiento basados en el riesgo y en la supervisión de los controles asociados a los mismos, por lo que, bajo mi apreciación, simplemente realizar un análisis a través, por ejemplo, de la herramienta FACILITA, descarga del RAT y check-list de verificación, no sería suficiente, porque como he comentado, el modelo de responsabilidad del GDPR ha de estar VIVO y las precedentes acciones son meras formalidades, amén de otros extremos afectos que no forman parte del presente artículo. Este artículo no es más que una simple opinión basada en la experiencia y en la interpretación del GDPR, pudiendo no ser compartida por otros actores o lectores.

       Efrén Santos Pascual

       Socio – Abogado TIC

       ICEF Consultores

       www.icefconsultores.com

      @efrensantos_tic                                                                                    

                                                                                    

 

 

[1] FCPA. Foreign Corrupt Practices Act

[2] Bribery Act

[3] IDWAssS 980

[4] BS 10012:2017: ISO 31000:2009; Directrices OCDE.

La legitimación para el tratamiento de datos personales en el nuevo RGPD

/0 Comentarios/en /por

Con la entrada en vigor el próximo 25 de mayo del nuevo Reglamento Europeo de protección de datos personales (RGPD o GDPR), deberá revisarse que todos los tratamientos de datos personales en curso se adecuan al mismo, en sus múltiples facetas o nuevas obligaciones para los responsables o encargados del tratamiento.

El RGPD tiene como novedad significativa que va a ser de aplicación directa en todos los estados miembros de la UE y presenta numerosas novedades con respecto a la actual legislación, la Ley 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y su Reglamento de desarrollo, entre las cuales debemos analizar lo relativo a la legitimación para el tratamiento de los datos personales.

Encontramos los parámetros esenciales exigidos para la licitud del tratamiento en el art. 6, las condiciones para que consentimiento sea válido, art. 7 y una extensión especial para determinar las condiciones necesarias para la validez del consentimiento del niño, con relación a los servicios de la sociedad de la información en el art. 8.

El artículo 6 del RGPD nos indica los requisitos para que un tratamiento de datos personales pueda ser considerado lícito:

El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

He resaltado los dos aspectos que, en mi opinión, van a ser más controvertidos en cuanto a su aplicación.

Las condiciones para el consentimiento. El consentimiento tácito.

Las características del consentimiento exigidas por el art. 7 se exponen a continuación:

  • El responsable deberá poder demostrar el consentimiento del interesado (art. 7.1).

  • Debe ser revocable fácilmente (art. 7.3).

  • El consentimiento debe recaer sobre todos los fines para los que vayan a tratarse los datos (Considerando 32).

  • El consentimiento debe ser informado, en un lenguaje claro y sencillo, como mínimo de la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales y deberán evitarse cláusulas abusivas.

  • El consentimiento deberá ser consciente y libre (considerando 42).

Además, el Reglamento establece otros requisitos para que pueda considerarse que la manifestación de voluntad sea válida:

  • Consentimiento “explícito”, habilitador para el tratamiento de categorías especiales de datos personales (art. 9) o ser objeto de decisiones individuales automatizadas (art. 22).

  • Consentimiento “inequívoco”. En este sentido, para considerar que el consentimiento es inequívoco, debe existir una declaración de los interesados o una acción positiva que indique la conformidad del interesado (art. 4.11).

En el Considerando 32 del Reglamento se considera como acción positiva el hecho de marcar una casilla de un sitio web en internet, así como la realización de una conducta que indique claramente, en este contexto, que el interesado acepta la propuesta de tratamiento de sus datos personales.

Así pues, la conducta de un interesado puede llevar a comportar la prestación de un consentimiento inequívoco para el tratamiento de sus datos personales, pudiendo ser considerada esta conducta como una acción positiva a que hace referencia el art. 4.11.

En este sentido, la Audiencia Nacional ha validado diferentes conductas de interesados como acciones que validan el consentimiento en diferentes y variadas situaciones, por ejemplo, por uso del servicio de telefonía, por el abono de varias facturas del servicio, por los actos posteriores a un arrendamiento de vehículo, etc.

El simple consentimiento tácito que contemplaba el Reglamento de desarrollo de la LOPD, en su artículo 14, consistente en que, si el interesado nada oponía en 30 días desde su comunicación, deberá considerarse no válido. La Agencia Española de Protección de Datos ha manifestado su criterio de que el Reglamento deroga este artículo, puesto que no existe acción específica por parte del interesado, es decir, el Reglamento no admite la “inacción”, como causa de considerar otorgado el consentimiento para el tratamiento de los datos personales.

La habilitación del tratamiento para la satisfacción de intereses legítimos.

En el art. 6.1.f se establecen los intereses legítimos que deben considerarse y que pueden ser de los responsables o de terceros, haciendo especial referencia siempre a que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.1

En este sentido se plantea un conflicto entre lo que pueda representar intereses legítimos, no solo de los responsables, sino también de terceros versus los derechos y libertades fundamentales del interesado.

La Sentencia del Tribunal de Justicia de la UE de febrero de 2012, resolvió que la mera invocación de un interés legítimo no puede considerarse suficiente para legitimar el tratamiento de datos personales sin el consentimiento del afectado. En sus fundamentos, el propio Tribunal argumenta la necesidad de realizarse, en cada caso concreto, una ponderación entre el interés legítimo de quien va a tratar los datos y los derechos fundamentales de los interesados, para determinar cuál debe prevalecer.

La Audiencia Nacional ha considerado procedente, entre otros, un interés legítimo en diferentes supuestos en que la publicación de algunos datos se ha considerado amparada por la libertad de información, la existencia de un interés legítimo en el envío de correo electrónico a miembros de un colectivo profesional por parte de un candidato a elecciones en dicho colegio y la actividad de un motor de búsqueda en la actividad desarrollada.

También la Agencia Española de Protección de Datos ha considerado diferente casuística como legitimadora para tratar los datos, atendiendo en cada caso al contexto y la finalidad, ponderando los intereses en conflicto en cada caso.

En resumen, el nuevo Reglamento viene a clarificar y delimitar con más profundidad los requisitos exigibles para que un tratamiento de datos personales pueda tener legitimidad, lo que debe llevar a los responsables a la revisión de si es posible continuar con el tratamiento de los datos de que dispone o debe recabar algún tipo de consentimiento, teniendo en cuenta el Considerando 171 que permite la continuidad en el tratamiento, si el consentimiento obtenido se ajusta a las condiciones del presente Reglamento. En cualquier caso, deberán ser objeto de revisión los protocolos de los tratamientos para adecuarlos a los requisitos del nuevo Reglamento.

Pere Rius Alonso
Abogado
Asociado ENATIC
TICJURIS ADVOCATS, SLP
Vic
www.ticjuris.com
https://www.linkedin.com/in/pere-rius-alonso-6b6ba516/
@rius_pere

1 De acuerdo con el art, 8.1, se considera niño al menor de 16 años, aunque los estados pueden regular una edad inferior, siempre que no sea inferior a 13 años. En España, el actual Reglamento de desarrollo de la LOPD considera la edad de 14 años para que el menor pueda dar su consentimiento.